可能重复:
Is it possible to execute PHP with extension file.php.jpg?
我不小心将文件上传到我的网站,它被黑了(STUPID ME)。黑客上传了一个文件index.php.jpg和上传者,只是用它来访问我的网站(它是一个shell99脚本),但我无法理解为什么它会起作用。有人足够聪明地解释这个吗?
答案 0 :(得分:8)
Apache控制哪些文件扩展名可以执行PHP。这可以在服务器级别或每个站点级别(例如使用.htaccess)进行控制。
默认情况下,{em>不的.jpg扩展名允许执行PHP。也许文件名真的是index.jpg.php,你误读了。但是,如果文件名确实 index.php.jpg,您需要查看所有可能的位置并锁定配置,以便只允许执行.php个扩展名PHP。
答案 1 :(得分:3)
文件名是伪造的,插入了\ x000,其中愚弄了httpd,或者.htaccess也被种植,以便为jpg文件强制执行PHP。