摘要： 附件上传是大家经常用到的功能，虽然大家都很容易把附件上传到服务器或数据库中，但是大家却疏忽了上传的文件的安全性，现在网站上大部分的页面上传验证只是通过脚本或者后台对文件的后缀名进行验证，访客很容易用一个伪装成正确格式的木马文件进行上传操作，一旦上传成功，访客很容易得到webshell,通过webshell可以攻击、控制服务器，从而得到黑客想要的任何信息，这是多么恐怖的一件事情，我们如何避免呢?个人总结了几种方式去避免，主要有：1、对文件后缀名进行验证；2、对文件头进行验证；3、屏蔽文件上传目录及修改文件名。 阅读全文