我几年前为一家小公司写了一个网站,当时我正在学习。我意识到我的安全技能不如应该,最近这个网站被黑客攻击了,并且恶意的php代码通过一个本来用于上传图片的表单上传了上去。
我已经转向.NET世界,虽然我知道如何在.NET中保护文件上传,但我真的不知道如何使用PHP做到这一点。非常抱歉我不能提供任何源代码,因此我不指望有人会直接修复我的代码。
我希望有人能告诉我一个好的服务器端分析方法,以确保上传的$FILES数组内容实际上是图像或音频文件,或者至少不是php文件。
我已经转向.NET世界,虽然我知道如何在.NET中保护文件上传,但我真的不知道如何使用PHP做到这一点。非常抱歉我不能提供任何源代码,因此我不指望有人会直接修复我的代码。
我希望有人能告诉我一个好的服务器端分析方法,以确保上传的$FILES数组内容实际上是图像或音频文件,或者至少不是php文件。
mime_content_type()
函数(相对可靠地)检测到。http://php.net/manual/en/function.mime-content-type.php - Michael Berkowski