有価証券アップロード画像PHP

Question

私は自分のウェブアプリケーションに画像アップロード機能を持っていますが、<script>alert('XSS')</script>のようなコードでphpファイルをアップロードしようとしましたが、そのファイルはhack.php.jpgです。アップロードしてアップロードしました。その場合、scriptが実行され、悪意のあるユーザーに何かが返されるか、.jpgの中のscriptは無視されますか？私のアップロードイメージの機能のリストは以下の通りです：

1）イメージの名前が変更され、フォルダに保存されます。

2）extensionsのみがjpg, png, jpegです。

3）ファイルサイズ< 1000000。

imgの名前を変更するために使用されるuniqid()。

5）imgを保存し、そのフォルダのimgを削除する場合は、unlink()とmove_upload_file()を使用します。

6）私の<form> enctypeはmultipart/form-dataとaccept="image/*"です。

私はcodecourse php upload fileビデオで自分のコードを学びました。

Answer 1

どのようにファイルの拡張子を解析しますか？ 理想的には、ファイルの名前を完全に変更します。たとえば、 "randomhash.jpeg/jpg/png"とします。そうすれば、 ".php"拡張子を含むことは不可能です。

もう1つのことは、画像を保存するフォルダ内のPHPコードの実行を（nginxまたはApacheで）無効にすることです。

さらに、機能getimagesizeとexif_imagetypeを使用して、有効な画像であることを確認することもできます。これらの機能は完全に機能しているわけではありません。