文件上传安全漏洞

Is there any file upload security vulnerability in my code? I am using apache in my server side. File upload is enabled in php.ini file.

<?php
if ($_FILES["file"]["size"] < 100000)//maximum upload size is 100 kb
{
    if ($_FILES["file"]["error"] > 0)
    {
      echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
    }
    else
    {
    if (file_exists("upload/" . $_FILES["file"]["name"]))
    {
      echo $_FILES["file"]["name"] . " already exists. ";
    }
    else
    {
      move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $_FILES["file"]["name"]);
$var="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
$samp=str_shuffle($var);
$pass=substr($samp,0,20);// creating a random text for file name.
$ext = pathinfo($_FILES["file"]["name"], PATHINFO_EXTENSION);
$ext=".{$ext}";
$newfilename="upload/".$pass.$ext;
rename("upload/".$_FILES["file"]["name"],$newfilename );
    echo "Stored in: " . $newfilename;
echo "<br>extension : ".$ext;
  }
}
}
else
  echo "File size is too large..";
?>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongzhenju3015 2012-01-07 05:31
关注
Potentially, yes.

What would happen if someone uploaded a PHP file? Would they be able to determine the filename, file URL, and run the PHP file?

If so, that program could use the scandir() function to get a list of all your filenames.

To prevent this, you could store the files outside DocumentRoot path, refuse to accept .php files, or use .htaccess to turn the PHP engine off in that directory.

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

PHP中文件包含漏洞的利用 php web安全
2022-09-29 09:29

回答 2 已采纳 php://filter/read=convert.base64-encode/some/resource=flag.php
怎么判断文件上传漏洞 web安全
2022-03-22 09:48

回答 2 已采纳后端通过文件的二进制头来判断
文件上传安全漏洞 php
2012-01-07 05:00

回答 1 已采纳 Potentially, yes. What would happen if someone uploaded a PHP file? Would they be able to determ
你不知道的文件上传漏洞php代码分析
2020-12-18 20:19

开发中文件上传功能很常见，作为开发者，在完成功能的基础上我们一般也要做好安全防护。文件处理一般包含两项功能，用户上传和展示文件，如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir = '...
文件上传漏洞，文件上传功能的检测点有哪些？ web安全模块测试网络安全
2023-01-28 13:43

回答 2 已采纳回答不易，求求您采纳点赞哦 文件上传漏洞是一种常见的 Web 应用程序安全问题，它允许攻击者在 Web 服务器上上传恶意文件，并可能导致远程代码执行攻击。 文件上传功能的检测点包括： 1.文件类型
除了文件上传漏洞，还有哪些漏洞可以获取webshell？ web安全网络安全
2022-08-11 10:31

回答 4 已采纳好兄弟，你可以借鉴一下这篇文章，超级详细！https://blog.csdn.net/weixin_43079958/article/details/105870738
PHP表单名称安全漏洞？ php
2014-01-28 12:18

回答 2 已采纳 Such a general practice is called "whitelisting". You are positively right about this vulnerabil
PHP的文件上传漏洞的前因后果
2024-02-07 21:58

颠勺厨子的博客 文件上传是常见的网络服务提供点，我们面对文件上传的时候，其实思路不只是去拿到Webshell，也可以根据其服务提供的特点，尝试去挖掘XSS或者其他方面的漏洞，不失为一种好的选择，本篇文章对文件上传的PHP代码的基础...
遇到一个提交的安全漏洞，请大神指导一下
2018-09-20 08:36

回答 1 已采纳服务器的防火墙拦截的，看这个界面应该是网防G01管理监测系统这个不是漏洞，是xss攻击，你服务器做好内容处理就行了，不过你安装了这个软件，都没进入你的程序就被拦击了
web安全网站漏洞测试 web安全
2022-04-27 14:37

回答 4 已采纳哈哈。。题主可以哦。。敢直接放出来。。
PHP代码审计7—文件上传漏洞
2022-08-01 17:06

W0ngk的博客 文件上传基础整理与示例分析
如何防止图片上传漏洞？ php
2021-06-04 01:18

回答 1 已采纳 0x03 无解的防护-全方面限制当然安全只是相对的，没有绝对的安全，一下代码对输入的文件进行了多种方式的审查并进行了重新编码，是目前比较完善了安全防御措施。源代码 upload_2.php
dvwa中的文件上传漏洞
2023-01-12 14:28

青霄的博客 dvwa漏洞环境演示文件上传漏洞
网络安全之文件上传漏洞
2022-05-07 00:35

渗透者:'的博客网站Web应用都有一些文件上传功能，比如文档、图片、头像、视频上传，当上传功能的实现代码没有严格校验上传文件的后缀和文件类型，此时攻击者就可以上传一个webshell到一个Web可访问的目录上，并将恶意文件传递给如...
没有解决我的问题, 去提问

悬赏问题

¥15 数学建模招标中位数问题
¥15 phython路径名过长报错不知道什么问题
¥15 深度学习中模型转换该怎么实现
¥15 HLs设计手写数字识别程序编译通不过
¥15 Stata外部命令安装问题求帮助！
¥15 从键盘随机输入A-H中的一串字符串，用七段数码管方法进行绘制。提交代码及运行截图。
¥15 TYPCE母转母，插入认方向
¥15 如何用python向钉钉机器人发送可以放大的图片？
¥15 matlab（相关搜索：紧聚焦）
¥15 基于51单片机的厨房煤气泄露检测报警系统设计

文件上传安全漏洞

1条回答 默认 最新

悬赏问题

1条回答默认最新