[原创] php安全知识：实现文件上传漏洞的方式及预防提示

用画图工具新建一个jpg或gif或png之类图片格式，开头一定是GIF或JPG或PNG之类。

将php网马的头部写入GIF 如图：

 

<?php

if($_FILES){
 echo '以下是错误的$_FILES：<br/>';
 echo "<pre>";
 print_r($_FILES);
 echo "</pre>";

 echo "以下是错误的getimagesize()<br/>";
 echo "<pre>";
 print_r(getimagesize($_FILES['bug']['tmp_name']));
 echo "</pre>";
 exit;
 $fp = fopen($_FILES['bug']['tmp_name'],"r");
 $content = fread($fp,filesize ($_FILES['bug']['tmp_name']));
 //echo $content 可以看到上传的源代码
}
?>

<form action="" method="post" enctype="multipart/form-data">

<input type="file" name="bug" />

<input type="submit" >
</form>

就可以看到如图这样坑爹的效果了。

首先是print_r($_FILES) 直接显示的是扩展的jpg结果。
然后是php函数getimagesize()的结果是gif（它以文件开头那段为判断依据）。

都是那么坑爹啊～