web常见攻击六——文件上传漏洞

  文件上传漏洞就是对用户上传的文件类型判断不完善,导致攻击者上传非法类型的文件,从而对网站进行攻击。 以上传图片为例进行介绍,下面来看初级的程序。 这段程序没有对图片类型及大小进行任何判断,就对文件进行上传,很容易产生文件攻击。 下面这段程序对文件大小及类型进行验证 很多人都会用$uploaded_type == “image/jpeg”对图片类型进行验证,可是这样依然是不安全的。 安全的图片验证类型可以这样写$uploaded_ext == “jpg” || $uploaded_ext == “JPG” || $uploaded_ext == “jpeg” || $uploaded_ext == “JPEG”),呵呵,也不难是吧,其实有些事情就这么简单,只是我们不知道而已。