zhaiduo.comLoving Coding & Visual Design
PHP上传GIF文件的安全溢出问题
今天看到PHP Classes博客上提到的PHP上传GIF文件的安全溢出漏洞,觉得这是一个很严重的问题。就算我们验证了GIF文件的类型和通过getimagesize()验证了GIF文件大小,PHP代码仍有可能被嵌入GIF文件中,就像〈?php readfile('/etc/passwd'); ?〉,很有可能被黑客利用。
这是他们提供的解决办法:
1. 利用.htaccess或httpd.conf限制上传文件所在目录执行PHP的权限。
< FilesMatch ".php$" >
deny from all
< /FilesMatch>
2. 避免直接调用上传的GIF文件。如:src="image.php?uploaded.gif" mce_src="image.php?uploaded.gif"。
3. 利用GD模块复制上传的GIF文件。
我的办法是可以设置 Apache,限定refer来自本站的才能调用GIF,就是常规的网站防盗链的办法[ Allow from env=local_ref ]。
总的感觉解决办法让上传GIF文件变得有些碍手碍脚。不知道还有什么其他解决办法。
这是他们提供的解决办法:
1. 利用.htaccess或httpd.conf限制上传文件所在目录执行PHP的权限。
< FilesMatch ".php$" >
deny from all
< /FilesMatch>
2. 避免直接调用上传的GIF文件。如:src="image.php?uploaded.gif" mce_src="image.php?uploaded.gif"。
3. 利用GD模块复制上传的GIF文件。
我的办法是可以设置 Apache,限定refer来自本站的才能调用GIF,就是常规的网站防盗链的办法[ Allow from env=local_ref ]。
总的感觉解决办法让上传GIF文件变得有些碍手碍脚。不知道还有什么其他解决办法。
最 近 文 章
- CSS:IE下非链接HOVER的解决办法 - Wed, 12 Sep 2007 08:50:52 +0000
- 感受FLASH CS3 - Fri, 31 Aug 2007 14:19:13 +0000
- 关于mysql_real_escape_string - Thu, 23 Aug 2007 10:58:56 +0000
- 广州直飞印度 - Tue, 21 Aug 2007 04:41:20 +0000
- 一道微软面试题 - Thu, 16 Aug 2007 02:51:45 +0000
- 接触RSA算法 - Wed, 15 Aug 2007 17:17:48 +0000
- Red Hat Enterprise Linux (RHEL)5相关版本介绍 - Sun, 12 Aug 2007 04:56:37 +0000
- CSS样式的优先权问题 - Fri, 10 Aug 2007 15:44:21 +0000
- 很酷的FLEX的三维应用测试 - Sun, 05 Aug 2007 15:37:54 +0000
- PHP Classes七月份PHP创新奖揭晓 - Thu, 02 Aug 2007 13:20:23 +0000