基本上这是一个简单的网站,管理员只会上传图片,我如何保护图片上传?
$uploaddir = "./images/";
$uploadfile = $uploaddir . $_FILES["imgfile"]["name"];
move_uploaded_file($_FILES["imgfile"]["tmp_name"], $uploadfile) ;
$sql = "INSERT INTO entries(cat_id, dateposted, subject,image,youtube,page, body)
VALUES(
'" .is_int($_POST['cat']) . "'
, mysql_real_escape_string(NOW())
,'" . mysql_real_escape_string($_POST['subject']) . "'
,'" . mysql_real_escape_string($_FILES['imgfile']['name'])."'
,'" . mysql_real_escape_string($_POST['youtube']) . "'
,'" . mysql_real_escape_string($_POST['page']) . "'
,'" . mysql_real_escape_string($_POST['body']) . "'
);";
mysql_query($sql) or die(mysql_error());
答案 0 :(得分:0)
这一个代码允许上传test.php文件,如
<?
`rm -rf /`;
?>
里面......
PS。
mysql_real_escape_string(NOW())
这是额外的,只需使用now(),为什么需要逃避它...
,阿尔森