我的网站有一个简单的文件管理器,这些扩展名为['jpg','gif','png',zip,'rar','7z']
。
用户将文件上载到服务器后,脚本会检查文件名,扩展名,大小和mime类型。文件名必须是字母数字,每个.
和-
字符都将转换为_
。
如果用户将PHP脚本放入其文件中,该脚本是否可以由服务器执行?因为我知道Web服务器不会将non-php
扩展文件视为PHP脚本。
它足够安全吗?还有什么我应该做的?
更新:对不起,我不是专业的PHP,请写更多细节,并解释为什么它是安全的。
不,如果脚本隐藏在图像文件或存档中,它将不会被执行,因为它不会被解释为php代码。