资源:武汉科技有限公司倍频猫
我最近升级DEDE5.6出现此问题后。和解决的方法。
假设有同学是按某些朋友用删除代码的方法解决这个问题的话,建议你修正此做法,毕竟这是有非常大安全风险的。而DEDE本身的安全隐患比較多。不论什么不安全的改动和操作都会断送掉站点的安全。
[代码]php代码:
1 | $imtypes = array ( "image/pjpeg" , "image/jpeg" , "image/gif" , "image/png" , "image/xpng" , "image/wbmp" , "image/bmp" ); |
2 | if (in_array( strtolower (trim(${ $_key . '_type' })), $imtypes )) |
3 | { |
4 | $image_dd = @ getimagesize ($ $_key ); |
5 | if (! is_array ( $image_dd )) |
6 | { |
7 | exit ( 'Upload filetype not allow !' ); |
8 | } |
9 | } |
这里的$$_key。指的是上传文件的暂时路径,如“d:/php/temp/aaa.tmp”。
我们能够看出,这getimagesize($$_key)这种方法。是在请求PHP暂时文件夹的读取权限。假设d:/php/temp没有读取权限就会出现无法读取的错误。
@getimagesize($$_key);返回的值事实上是False,而这里DEDE程序猿简单的使用了@屏掉错误提示,并没有考虑到权限问题,造成用户无法了解真正错误原因是没有文件夹权限。而不是文件类型不同意。
一顿茫然。
改动办法例如以下:
1。在PHP.ini中加入d:/php/temp的读写权限,这一步基本上都不用操作。由于这个文件夹一般都是可读写的。不然不论什么文件都无法上传;
2,部份虚拟主机用户,可能加入了php_admin_value open_basedir 指令。在这里。我们要求加入上暂时文件夹的权限,如:“php_admin_value open_basedir "E:/wwwroot/www.a.com;D:/PHP/temp"”
然后,重新启动WebServer,至今,问题解决了。
版权声明:本文博客原创文章,博客,未经同意,不得转载。