我正在阅读有关文件上传漏洞的这篇文章:https://www.owasp.org/index.php/Unrestricted_File_Upload
我看到了这句话:
查找转换为其他有用字符的字符 在文件上传过程中。例如,在IIS上运行PHP时, “>”,“ <”和双引号“字符分别转换为 “?”,“ *”和“。”可用于替换现有字符 文件(例如,“ web <<”可以替换“ web.config”文件)。为了 在普通文件的文件名中包含双引号字符 上传请求,“ Content-Disposition”标题中的文件名 应该使用单引号(例如filename ='web“ config'代替 “ web.config”文件。