摘要:
帖子地址:http://www.cnblogs.com/sanshi/p/3150639.html首先要确保上传文件、保存上传文件目录的安全性。 一个被遗忘的包子 只验证后缀名还是不行,最好验证一下上传文件的MIME,并且上传的文件最好是单独存放 平如水 上传目录禁止运行脚本,这是必须要做的。iis,apache都很方便做到这一点。iis曾经有过jpg后缀漏洞执行脚本,谁也不能保证它以后会不会再有类似的漏洞。“始作俑者 ” ice_sky 1、偶然间发现上传页面可以上传所有的文件类型,第一次上传了一个ASPX木马,真... 阅读全文