带上传图片的证券php

Question

我在我的web应用程序上有一个上传图像的功能，我试图上传一个像这样的代码的php文件<script>alert('XSS')</script>文件是hack.php.jpg然后，我上传它，它上传了，我担心这是，script会运行并返回一些东西给恶意用户，或者它会忽略.jpg内部的script？下面是我上传图片的函数列表：

1)它将重命名图像，然后将其保存在文件夹中。

2)只有接受的extensions才是jpg, png, jpeg。

3)文件大小< 1000000。

4)用于重命名img名称的uniqid()。

5)我使用unlink()和move_upload_file()来保存img和删除文件夹上的img。

6)我的<form> enctype是multipart/form-data和accept="image/*"。

我在codecourse php upload file视频中学到了我的代码。

Answer 1

理想情况下，您可以完全重命名文件。

您可以做的另一件事是在存储图像的文件夹中禁用PHP代码执行(在nginx或Apache中)。

此外，您还可以使用函数getimagesize和exif_imagetype来检查它是否为有效映像。