我正在编写一个小型的PHP应用程序,不确定是否存在安全问题。以下是该应用程序的功能:
- 用户可以上传图片文件(png、gif、jpg、jpeg、tiff和其他一些格式)或zip文件
我检查mime类型和扩展名,如果不允许上传,则不允许上传(这不是我担心的部分)。
现在,一旦上传完成,我将文件重命名为唯一的哈希值并存储在根目录之外的文件夹中。
用户现在可以通过短URL访问该文件。我设置正确的mime类型来使文件可访问,并使用readfile()函数读取。
我的问题是:是否会在图像文件中包含jar文件的漏洞同样适用于此处?我将图像作为纯图像呈现。
如果确实有此漏洞,如何防范?
谢谢。