我的网站有一个简单的文件管理器,其中包含这些允许的扩展名['jpg','gif','png',zip,'rar','7z']。
用户将文件上传到服务器后,脚本会检查文件名,扩展名,大小和mime类型。
文件名必须是字母数字,每个.和-字符都会转换为_。
如果用户将PHP脚本放入其文件中,该脚本是否可以由服务器执行?
据我所知,Web服务器不会将non-php扩展名文件视为PHP脚本。
这样安全吗? 还有什么我应该做的?
更新 对不起,我不是专业的PHP, 请写下更多细节,并解释为什么安全与否。
答案 0 :(得分:1)
不,如果脚本隐藏在图像文件或存档中,它将无法执行,因为它不会被解释为php代码。