我正在使用基于html5画布的图像上传和base64编码(默认)。服务器端:当发布请求时,删除base64头文件并应用base64_decode函数(根本不使用eval php函数)并将其直接保存到文件系统中。
因为我将上传的文件保存为上传内容的精确副本。如果用户上传伪装成jpg的恶意php / js文件,并且访问者认为糟糕的jpg是安全风险吗?如果是,我将使用gd处理上传的文件。经过gd处理后,我认为那些将会消失。
答案 0 :(得分:0)
因为我将上传的文件保存为上传内容的精确副本。
然后,您在处理任何类型的文件上传时遇到了所有问题。这里没有HTML 5特有的内容。
如果用户上传伪装成jpg的恶意php / js文件,并且访问者认为糟糕的jpg是安全风险吗?
假设您使用image/jpeg内容类型通过HTTP传送 - 否。
但是,过去在图像库中存在基于缓冲区溢出的漏洞存在问题,因此理论上可能(尽管不太可能)特制JPEG可以利用终端查看器系统中的安全漏洞。