据我了解,图像(jpeg、gif 等)可能包含有效的 php/python/perl 等代码。所以 - 任何人都可以创建有效的 jpeg 文件,同时可以由 PHP 解释器执行。 (这里是描述:link)
所以 - 我想知道 - 有没有办法从图像中去除恶意代码?用 GD 或 imagemagic 重新编码图像会起作用吗?
谢谢!
【问题讨论】:
标签: php file-upload
实际图片不包含代码。但是没有什么能阻止某人尝试上传“图像”文件,然后尝试让它执行。
您的解释器(Perl、PHP 等)应设置为只执行某些文件类型(即 .php 或 .php5)。没有理由 Perl 或 PHP 应该解析图像文件。
只需使用以下常识来保护自己:
1) 验证文档的 MIME 类型
2) 执行只允许上传特定扩展名文件的政策
3) 不要接受表面价值的文件名。生成您自己的内部文件名并使用数据库表来保存映射。
4) 如果你真的很偏执,找一些代码来检查字节签名对于给定的文件类型上传是否有效。
【讨论】:
您应该配置您的网络服务器,不允许您的图像文件扩展名被 PHP 解释。如问题中链接的页面所示,图像可以包含 PHP 代码。始终根据白名单检查文件扩展名:
<?php
$whitelist = '/\.(?:jpe?g|png|gif)$/i';
if (!preg_match($whitelist, $_FILES['userfile']['name'])) {
echo "Bad filename extension.";
exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.";
} else {
echo "File uploading failed.";
}
?>
【讨论】:
getimagesize()函数,根据实际文件内容返回图片的真实mime类型。