织梦CMS图片上传安全验证文件代码

最新推荐文章于 2024-08-11 23:25:41 发布
最新推荐文章于 2024-08-11 23:25:41 发布
阅读量97 收藏
点赞数
文章标签: php python 数据库
原文链接:https://my.oschina.net/u/196016/blog/224160
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

<?php

if(!defined('DEDEINC')) exit('Request Error!');


if(isset($_FILES['GLOBALS'])) exit('Request not allow!');


//为了防止用户通过注入的可能性改动了数据库

//这里强制限定的某些文件类型禁止上传

$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";

$keyarr = array('name', 'type', 'tmp_name', 'size');

if ($GLOBALS['cfg_html_editor']=='ckeditor' && isset($_FILES['upload']))

{

    $_FILES['imgfile'] = $_FILES['upload'];

    $CKUpload = TRUE;

    unset($_FILES['upload']);

}

foreach($_FILES as $_key=>$_value)

{

    foreach($keyarr as $k)

    {

        if(!isset($_FILES[$_key][$k]))

        {

            exit('Request Error!');

        }

    }

    if( preg_match('#^(cfg_|GLOBALS)#', $_key) )

    {

        exit('Request var not allow for uploadsafe!');

    }

    $$_key = $_FILES[$_key]['tmp_name'];

    ${$_key.'_name'} = $_FILES[$_key]['name'];

    ${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i', '', $_FILES[$_key]['type']);

    ${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);

    if(!empty(${$_key.'_name'}) && (preg_match("#\.(".$cfg_not_allowall.")$#i",${$_key.'_name'}) || !preg_match("#\.#", ${$_key.'_name'})) )

    {

        if(!defined('DEDEADMIN'))

        {

            exit('Not Admin Upload filetype not allow !');

        }

    }

    if(empty(${$_key.'_size'}))

    {

        ${$_key.'_size'} = @filesize($$_key);

    }

    

    $imtypes = array

    (

        "image/pjpeg", "image/jpeg", "image/gif", "image/png", 

        "image/xpng", "image/wbmp", "image/bmp"

    );


    if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))

    {

        $image_dd = @getimagesize($$_key);

        if (!is_array($image_dd))

        {

            exit('Upload filetype not allow !');

        }

    }

}

?>



转载于:https://my.oschina.net/u/196016/blog/224160

weixin_34239592
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[分析]-DedeCMS全版本通杀SQL注入漏洞
Nixawk
05-04 5671
mysql> SELECT s.*,t.* FROM -> `dede_member_stow` AS s LEFT JOIN -> `dede_member_stowtype` AS t ON s.type=t.stowname -> WHERE s.aid='1' -> AND s.type='\\' or mid=@`\\'` /*!50000unio
织梦上传视频插件
12-22
- **安全考虑**:上传文件应进行病毒检查,防止恶意代码的注入;同时,要限制文件大小和类型,以防止服务器资源被滥用。 通过【织梦上传视频插件】,网站管理员可以更方便地管理和发布多媒体内容,提升用户体验,...
织梦CMS上传漏洞修复
caichuoran3785的博客
06-27 676
近段时间老是发现网站title被注入其他信息,应该是被植入***还是什么的,非常困闹,在网站找了一些织梦漏洞的修补方法。 任意文件上传漏洞修复 一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子) $fullfilename = $cfg_basedir.$activepath.'/'.$filename; 修改为 if...
dede5.7织梦后台广告插件增加图片上传功能
IT技术宅-北方的刀郎
03-21 734
dede5.7织梦后台广告插件增加图片上传功能作者:新起点 发表于:2013-6-5 9:41:20跟大家分享下给dede织梦广告插件增加图片上传功能的方法。共需要修改四个文件。一、打开文件/dede/ad_add.php文件,找到代码:$normbody="跟大家分享下给dede织梦广告插件增加图片上传功能的方法。共需要修改四个文件。一、打开文件/dede/ad_add.php文件,找到代码:$
dede图片上传php,织梦DEDE 栏目字段添加并调用:例如图片上传
weixin_29368453的博客
03-19 180
1.在数据库栏目表dede_arctype中的typedir后面添加要添加的字段 typeimg2.修改sql语句,dede/catalog_add.PHP中搜索 queryTemplate等级栏目和$in_query子集栏目,在sql语句中的每个~typedir~后面加上$typeimg,注:参数部分记得要加上‘$ typeimg’。3.编辑dede/catalog_edit.php在type...
织梦的if(!defined('DEDEINC')) exit("Request Error!");解析
solocao的专栏
03-20 2740
1 if(!defined('DEDEINC')) exit("Request Error!"); 细细看看你就会发现,这句代码一般都是在 /include 路径下的php文件里边,为什么 dede 路径下的php文件没有呢?因为 include 路径下的文件是 类文件,也就是 方法文件 ,是以后要被 require_once 引入的文件,M
织梦栏目字段添加并调用:例如图片上传
现实与爱的博客
09-01 3255
织梦栏目图片上传方法
摘自织梦CMS中的处理
10-23
主要介绍了摘自织梦CMS中的处理类,通过面向对象的方式较为详细的实现了php针对片的缩略生成及水印添加等操作技巧,非常具有实用价值,需要的朋友可以参考下
织梦上传视频显示操作文档
09-09
### 织梦系统上传视频并在前端显示的操作指南 #### 一、准备工作 在开始之前,我们需要...通过以上步骤,我们可以成功地在织梦CMS系统中实现视频上传与展示的功能。这对于构建具有丰富多媒体内容的网站来说至关重要。
织梦excel导入数据库
06-30
”意味着这个代码是为织梦的某个特定版本(可能是5.7)编写的,能够实现批量上传Excel数据的功能,并且在该版本上已验证可行。对于其他版本的织梦,可能需要进一步的测试或调整,因为不同版本之间可能存在差异。 ...
织梦网上报名木块
10-13
1. **核心代码**:这部分是实现网上报名功能的核心,包括处理用户提交的信息、验证数据、存储报名记录等逻辑。它可能由PHP脚本和数据库查询组成,与织梦的后台管理接口进行交互。 2. **前端界面**:报名页面的HTML...
zabbix的setup无法进入第二步
最新发布
houduanq的博客
08-11 230
chmod: 无法访问"/var/lib/php/session": 没有那个文件或目录。
LNMP环境搭建论坛
qq_63652578的博客
08-07 987
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 273
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1389
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
ctfhub文件包含
a666666688的博客
08-07 496
文件的内容,通常这个文件包含一些敏感信息,比如CTF比赛中的flag。这样就可以通过浏览器或其他HTTP客户端看到。,直接访问这个URL将导致服务器读取并返回。
代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集
wonderlandlja的博客
08-10 163
代码代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集。
织梦CMS快速入门指南
这是一份关于织梦内容管理系统(DedeCMS)的快速操作手册,旨在帮助初学者快速掌握如何使用织梦CMS。手册由寂寞天涯编写,于2008年12月出版,包含了从系统安装到内容管理等一系列基础操作的详细指导。教程采用文字和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值