好的,所以我已經看到了很多有關如何保護圖像上傳表單的討論,但是沒有人告訴我,該怎么做才能100%阻止惡意代碼通過我的應用程序上傳.
我目前正在考慮重新創建圖像,因為我看到這將是一種非常安全的方法.可以?還有什么其他選擇?這些方法還優選哪些擴展名?
解決方法:
php結合html本地上傳圖片,I’m currently thinking about image re-creation, as I saw that it
would be quite a secure method.
除非您用于重新創建的庫不易受攻擊:P.但是,認真的說,我認為這不是一個壞主意,在大多數情況下,它可以改善安全性.
為了提高安全性,您還可以使用Fileinfo functions(早期版本的PHP中的mime_content_type())檢測內容類型.
thinkphp?關于較舊的Mimetype擴展的摘錄形式的PHP手冊,現已由Fileinfo代替:
The functions in this module try to guess the content type and
encoding of a file by looking for certain magic byte sequences at
specific positions within the file. While this is not a bullet proof
php還有用嗎,approach the heuristics used do a very good job.
至于問題,哪種PHP擴展最適合用于安全圖像重新創建…我已經檢查了CVE details網站.我認為適用的三重奏是那些擴展:
> GD(6個漏洞)
> ImageMagick(44個漏洞)
php示例代碼。> Gmagick(12個漏洞)
通過比較,我認為GD最適合,因為它的安全性問題數量最少,而且它們已經很老了.其中三個非常關鍵,但是ImagMagick和Gmagick的性能卻沒有任何提高…ImageMagick似乎非常容易出錯(至少在安全性方面),因此我選擇Gmagick作為第二個選項.
標簽:image,security,image-processing,php,image-uploading
來源: https://codeday.me/bug/20191122/2057029.html
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态