К моему вниманию, пользователь пытается создать эксплойт через загрузку изображений аватаров. Это было обнаружено, когда пользователь сообщил мне, что они получали уведомление от своего антивируса Norton, говорящего «HTTP Suspicious Executable Image Download». Это предупреждение ссылалось на изображение аватара пользователя. Я не думаю, что они на самом деле ничего не добились, чтобы украсть информацию или что-то в этом роде, но я предполагаю, что это возможно, если дыра остается открытой достаточно долго. Я использую PHP для загрузки файлов изображений, и я проверяю, загружен ли файл png, jpg, bmp или gif.Загрузка блока исполняемых изображений (PHP)
Это код, который проверяет, является ли это изображение:
$allow_types = array('image/jpeg', 'image/png', 'image/gif', 'image/jpg', 'image/png', 'image/bmp', 'image/bitmap');
if (in_array($this->tmp_image['type'],
$this->allow_types)) {
return true;
}
getimagesize, вероятно, лучшим вариантом, поскольку он не будет загружать ресурс. – buggedcom