用CI2.1做了个图片上传,伪造图片也可以上传
按CI手册上做了个图片上传。然后我伪造了一张图片,步骤是:准备123.bat文件, 正常的图片文件123.jpg, 木马文件123.php
在123.bat文件中写入 copy /b 123.jpg+123.php news.jpg
运行123.bat文件后生成news.jpg文件
通过CI上传news.jpg文件,成功
那如果有人能把news.jpg改成news.jpg.php的话
那不是中马了么?
请问有没有这种情况出现呢?求解,谢谢! 附件文件夹设置无执行权限 这个你可以检查文件类型
确保上传文件是否符合指定规则嘛 这应该就是内涵图吧 :lol,
linux系统可以设置执行权限,win怎么办呢 好吧,我在Apache的配置文件httpd.conf里面把上传的目录禁止执行脚本,即使他有能力把后缀名改了,在上传目录下也没有执行的权限,提示:
Forbidden
You don't have permission to access /images/upload/XXXXXX/phpinfo.html on this server.
请教各位,还需要有什么特别注意的问题没有,感谢大家 学习
页:
[1]