|
segmentfault回答:
http://segmentfault.com/q/1010000000507750
一���、
其實(shí)識(shí)別圖片木馬是很困難的,可以在一張正常的圖片里加入一句話木馬�。
但是只要做到圖片不會(huì)被執(zhí)行,你的web服務(wù)器沒有古老的解析漏洞����,你的web程序不存在簡單的包含漏洞�,那么圖片木馬是基本可以防止的���。
二���、
題主可以參考這個(gè)問題:
《php的mime處理問題》(http://segmentfault.com/q/1010000000499582)
單純通過后綴名判斷上傳文件的類型肯定是不安全的,可以采取 mime 類型判斷或者讀取文件頭字節(jié)來判斷是否為圖片����。更甚者,題主可以用 GD 庫來處理上傳的圖片���。
我們現(xiàn)在系統(tǒng)的操作方法是先通過 mime 判斷上傳文件類型����,如果為圖片則通過 GD 函數(shù)處理生成 thumbnail���,同時(shí)保存 origin 圖片文件����。
三�、
可以用linux服務(wù)器上的木馬掃描軟件���,比如 Clamav 支持命令行執(zhí)行的,上傳之后就掃一下�����,最可靠��,
$last_line = system('php /var/bin/clamdscan upload.jpg');
根據(jù)掃描結(jié)果就可以判斷了
|
