3回答

慕田峪9158850

以下是其中一些：当一个文件上传到服务器时，PHP将变量$_files[‘upupadedfile’][‘type’]设置为客户机正在使用的Web浏览器提供的MIME类型。但是，文件上载表单验证不能仅依赖于此值。恶意用户可以使用脚本或其他允许发送HTTPPOST请求的自动应用程序轻松上传文件，这允许他发送假MIME类型。几乎不可能编译包含攻击者可以使用的所有可能扩展的列表。例如，如果代码在托管环境中运行，通常这样的环境允许大量脚本语言，如Perl、Python、Ruby等，并且列表可以是无穷无尽的。恶意用户可以通过上传名为“.htaccess”的文件轻松绕过这种检查，该文件包含如下代码行：AddType application/x-httpd-php .jpg

0 0

0