摘要： 1.在代码中包含哪些文件就写包含指定的文件，尽量不要包含所有类型的文件，即包含*，防止文件包含漏洞结合文件上传漏洞生成一句话木马（上传一个带有生成一句话木马的图片，结合文件包含漏洞将生成一句话木马的代码执行，进而生成一句话木马文件，然后远程通过一句话木马文件控制服务器） 2.文件包含：包含本地 和包 阅读全文

摘要： 1.对上传的文件进行后缀名限制，可以在一定程度上抵御文件上传漏洞，即不让代码类型的文件上传。 2.上传一个脚本文件（后缀名属于限制级别），使用burpsuit做代理，将请求中的16进制文件进行修改，就可以达到欺骗的目的，成功上传脚本类型的文件 阅读全文