php图片上传之文件安全
2015-01-14 21:30
246 查看
一般的文件上传不会对文件安全进行检查,一般之后会验证扩展名
简单的扩展名验证就是,php的$_FILES数组中的type
这个是非常不靠谱,仅仅是验证了文件的后缀名,靠谱一些的就是exif_imagetype、getimagesize来判断,这个对文件类型的来说还是很靠谱的
安全的做法
0、 linux上的杀毒软件 clamav
在测试环境下可以使用 clamscan命令去测试(很慢)
生产环境要启动 clamd服务,使用clamdscan去扫描文件(很快,毫秒级)
备注:最好添加一个定时任务,每天更新一下病毒库
freshclam
扫描到了病毒后的处理方法:
a、(建议)使用imagecreatefromjpeg等方法读取文件信息,重新创建一个文件,达到杀毒又不影响用户使用的目的
b、直接删除图片,打到坏分子
1、对于一般的中小型的网站不需要使用杀毒软件,只要控制好服务器和文件夹、文件的执行权限就可以了
简单的扩展名验证就是,php的$_FILES数组中的type
这个是非常不靠谱,仅仅是验证了文件的后缀名,靠谱一些的就是exif_imagetype、getimagesize来判断,这个对文件类型的来说还是很靠谱的
安全的做法
0、 linux上的杀毒软件 clamav
在测试环境下可以使用 clamscan命令去测试(很慢)
生产环境要启动 clamd服务,使用clamdscan去扫描文件(很快,毫秒级)
备注:最好添加一个定时任务,每天更新一下病毒库
freshclam
扫描到了病毒后的处理方法:
a、(建议)使用imagecreatefromjpeg等方法读取文件信息,重新创建一个文件,达到杀毒又不影响用户使用的目的
b、直接删除图片,打到坏分子
1、对于一般的中小型的网站不需要使用杀毒软件,只要控制好服务器和文件夹、文件的执行权限就可以了
相关文章推荐
- php 安全基础 第二章 表单及URL 文件上传攻击
- php图片文件上传类 (附自动生成缩略图)
- PHP文件上传中的安全问题
- php图片文件上传实例代码
- 用yourphp uploadFile.class.php上传图片出现非法图像文件无法上传
- php.ini 上传文件配置及安全配置
- PHP Fckeditor上传文件(或图片)中文显示为乱码的解决方法
- php上传Excel文件时如何判断文件中有图片
- php 关于图片文件上传
- nginx+php 上传含有php脚本的木马图片文件的漏洞解决
- PHP远程上传web与图片文件分离
- php 上传文件|图片 时候报错 Allowed memory size of 20971520
- PHP安全编程:文件上传攻击的防御
- php中文件上传的安全问题
- PHP 图片文件上传实现代码
- php判断上传的文件是否是图片类型
- php实现图片上传与文件上传的实现代码实例
- PHP 图片文件上传代码分享
- php 上传文件|图片 时候报错 Allowed memory size of 20971520
- php判断上传的Excel文件中是否有图片及PHPExcel库认识