我有一个允许用户上传图片的网站 - png,jpg,jpeg,gif。我被告知要在网站根目录中的.htaccess文件中包含以下代码(例如:允许关于网站的所有内容)。这是解决这个问题的最好方法吗?
deny from all
<Files ~ "^\w+\.(gif|jpe?g|png)$">
order deny,allow
allow from all
</Files>
基本上我想为上传的文件类型添加一些额外的保护。我知道它不是万无一失的,只是更多的保护......想法?
三江源
答案 0 :(得分:2)
您可以检查文件何时是具有GD功能getimagesize或getimagesizefromstring的图像。然后,对于每个上传的文件,请检查尺寸。如果您使用的功能返回false
,则该文件不是图像。
使用getimagesize
,您还可以检查mime类型,以便将图像限制为特定类型。