通常、私はサフィックス名のみを確認します。
たとえば、abc.jpg をアップロードし、最終的に /xxx/xxx.jpg に配置します
しかし、今日、ある記事を見ました
原理は、コードを作成してアップロードします。
この時点でコードを実行しますか?
百度でずっと検索してたら10年前の情報が出てきたんですが、どうやらこれってASPに関係があるのでは?
この PHP にもこの脆弱性があるかどうかお聞きしたいのですが?
ファイルをアップロードするときにサフィックスのみを確認しても安全ですか?
ディスカッションへの返信 (解決策)
php についても同様で、アップロード後、最初にそれが実際の画像ファイルであるかどうかを判断してから、それに相当する透明なウォーターマークを付けるのが最善です。元の画像を「破壊」すること
同じことが php やアップロードにも当てはまります。将来的には、最初にそれが実際の画像ファイルであるかどうかを判断し、次に透明な透かしを入れることが最善です。これは、元の画像を「破壊する」ことと同じです。元の画像
判断方法
ウォーターマークの追加についてはそのような考慮事項はありません
安全ではありません...
通常は Suffix 名を確認するだけですが、
たとえば、abc.jpg をアップロードし、最終的に /xxx/xxx.jpg に置きます
でも、今日ある記事を見ました
原則は、コードで JPG 画像を作成し、それをアップロードすることです。
この時点でコードを実行しますか?
百度でずっと検索してたら10年前の情報が出てきたんですが、どうやらこれってASPに関係があるのでは?
この PHP にもこの脆弱性があるかどうかお聞きしたいのですが?
ファイルをアップロードするときにサフィックスのみを確認しても安全ですか?
同じことが php にも当てはまります。アップロード後、最初にそれが実際の画像ファイルであるかどうかを判断してから、元の画像を「破棄する」ことと同じ、透明な透かしを挿入するのが最善です。裁判官
ウォーターマークの追加についてそのような考慮はありません
Baidu はい、あります。 。 。
このような問題がまだあることが判明しました。 。多くを学んだ!
安全ではありません...
チェックすべき項目は何ですか?
百度にはそれがあります。 。 。
画像サイズを取得しますか?
if (preg_match('/ die('ヒント! この画像には禁止されたコード '.str_replace('?', '?', $m_err[0]) が含まれています。'); base64_decode|base64_encode/i', @file_get_contents($_FILES['uploadfile']['tmp_name']), $m_err)) {
die('ヒント! 投稿は禁止されています。この画像には禁止されたコードが含まれています' .str_replace('? ', '?', $m_err[0]).'. ');
}
を実行するなど、簡単な画像で試していただけますか?一時保存ディレクトリを含む、写真が保存されているすべてのディレクトリのアクセス許可を「読み取り可能、書き込み可能、および実行不可能」にします
基本的にこの 2 つのポイントを実行すれば、比較的安全になります。特に最初のポイントはとても重要です
負荷分散がセッション管理にどのように影響し、それに対処するかを説明します。Apr 29, 2025 am 12:42 AM負荷分散はセッション管理に影響しますが、セッションの複製、セッションの粘着性、集中セッションストレージで解決できます。 1。セッションレプリケーションサーバー間のセッションデータをコピーします。 2。セッションスティンネスは、ユーザーリクエストを同じサーバーに指示します。 3.集中セッションストレージは、Redisなどの独立したサーバーを使用してセッションデータを保存してデータ共有を確保します。
セッションロックの概念を説明します。Apr 29, 2025 am 12:39 AMSESSIONLOCKINGISATECHNIQUESTOESUREAUSER'SSESSIONREMAINSEXCLUSIVETOONEUSATIME.ITISCRUCIALFORPREVENTINGDATACORTIONANDSECURITYBREACHESINMULTI-USERAPPLICATIONS.SESSIONLOCKINGISISIMPLEMENTEDUSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGSINGROCKINGSMECHANISMなど
PHPセッションの選択肢はありますか?Apr 29, 2025 am 12:36 AMPHPセッションの代替品には、Cookie、トークンベースの認証、データベースベースのセッション、Redis/Memcachedが含まれます。 1.Cookiesは、クライアントにデータを保存することによりセッションを管理します。 2.トークンベースの認証はトークンを使用してユーザーを検証します。これは非常に安全ですが、追加のロジックが必要です。 3.Databaseベースのセッションは、データベースにデータを保存します。これは、スケーラビリティが良好ですが、パフォーマンスに影響を与える可能性があります。 4. Redis/Memcachedは分散キャッシュを使用してパフォーマンスとスケーラビリティを向上させますが、追加のマッチングが必要です
PHPのコンテキストで「セッションハイジャック」という用語を定義します。Apr 29, 2025 am 12:33 AMSessionHijackingとは、ユーザーのSessionIDを取得してユーザーになりすましている攻撃者を指します。予防方法には、次のものが含まれます。1)HTTPSを使用した通信の暗号化。 2)SessionIDのソースの検証。 3)安全なSessionID生成アルゴリズムの使用。 4)SessionIDを定期的に更新します。
PHPの完全な形式は何ですか?Apr 28, 2025 pm 04:58 PMこの記事では、PHPについて説明し、その完全なフォーム、Web開発での主要な使用、PythonとJavaとの比較、および初心者の学習のしやすさについて説明します。
PHPはフォームデータをどのように処理しますか?Apr 28, 2025 pm 04:57 PMPHPは、$ \ _ postおよび$ \ _を使用してフォームデータを処理し、検証、消毒、安全なデータベースインタラクションを通じてセキュリティを確保します。
PHPとASP.NETの違いは何ですか?Apr 28, 2025 pm 04:56 PMこの記事では、PHPとASP.NETを比較して、大規模なWebアプリケーション、パフォーマンスの違い、セキュリティ機能への適合性に焦点を当てています。どちらも大規模なプロジェクトでは実行可能ですが、PHPはオープンソースであり、プラットフォームに依存しませんが、ASP.NET、
PHPはケースに敏感な言語ですか?Apr 28, 2025 pm 04:55 PMPHPの症例感度は変化します:関数は鈍感であり、変数とクラスは感度があります。ベストプラクティスには、一貫した命名と、比較のためにケース非感受性関数を使用することが含まれます。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
SublimeText3 英語版
推奨: Win バージョン、コードプロンプトをサポート!
SublimeText3 Linux 新バージョン
SublimeText3 Linux 最新バージョン
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
ホットトピック
7814
15164614140252130025123829