我注意到可以将隐藏文件存储在JPG / GIF / PNG图像中,其中可能包含非法图像或.rar格式的集合。用户可以利用此功能在允许图像上传的任何网站上以肉眼看似平均的图像上传和分享非法内容。
我在互联网上找不到任何关于让PHP阻止图像文件包含其中的其他文件的来源,我希望有人可以指出我正确的方向。以下内容不足以检测文件中的其他内容,因为exif仍然与文件的扩展名匹配:
if (exif_imagetype($imagefile['tmp_name']), IMAGETYPE_GIF) { //code; }
答案 0 :(得分:1)
我不能100%确定这是否可行,但是使用GD / Imagemagick命令创建新图像可能会删除额外的隐藏数据。