新闻列表 -> 本站动态
重大bug:上传功能漏洞修复
6月28日 阅读次数:
 

上传功能漏洞修复

/common/up.php 

Session_start();//使用session必须 

// 如果没有登录,退出

//去掉注释

if(!isset($_SESSION['*********'])) {

   exit("请先登录");

}

//新增

function readFromFile($target_path) {

        // 读取文件内容

        $file = fopen($target_path, "r") or die("unable to open file");

        $fileContent = '';

        while (!feof($file)) {

            $str = fgets($file);

            $fileContent.= $str;

        }

        fclose($file);

        return $fileContent;

}

 

 

$filename=$file["tmp_name"];  

//加上 

$fp = readFromFile($filename, "rb");

$fp= strtolower($fp);

 

   if (strstr($fp,'php') || strstr($fp,'<?')  || strstr($fp,'?>') ) {

echo "文件内容不合规范";    

    exit; 

}   

 

//加上以上代码

 

    if(!move_uploaded_file ($filename, $destination))    

    {    

    echo "移动文件".$filename."出错";    //修改

        exit;    

}  

 

也可以关闭上传功能

 

修改 Nginx/sites-enabled/

 

     if ( $fastcgi_script_name ~ ..*/.*php ) {

      return 403;

      }

限制一些目录执行php文件

    location ~ ^/search/.*.(php|php5)$ 

                { 

              deny all; 

                } 

 

        location ~ ^/static/.*.(php|php5)$ 

                { 

               deny all; 

                } 

        location ~* ^/Upload/.*.(php|php5)$ 

            { 

                deny all; 

            } 

        location ~* ^/Upload/(news|ad)/.*.(php|php5)$ 

            { 

                deny all; 

            } 

这些目录的限制必须写在

 

    location ~ .*.php?$ {

        root /srv/http/www;

        fastcgi_pass php.proxy;

        fastcgi_index index.php;

        include fastcgi_params;

    }

    # 的前面,否则限制不生效

本站动态
 ·重大bug:上传功能漏洞修复
 ·HTML5 手机端彩票合买代购源码下载(试用
 ·神彩彩票IOS,ANDROID手机客户端同步发布
 ·俱乐部版彩票合买代购系统新增十一运夺金
 ·俱乐部版彩票合买系统功能升级
 ·俱乐部版彩票合买代购系统新增多乐彩(江
 ·俱乐部版彩票合买代购系统新增广东11选5
 ·请认准神彩软件官方网站fleaphp.net谨防
业内新闻
 ·彩通咨询:2014年中国移动互联网彩票市场
 ·全面禁售月余 互联网彩票的明天会怎样?
 ·彩票概念股飘红 国资“收编”互联网售彩
 ·未来互联网售彩前景分析
 ·互联网彩票:蓝黑还是白金?
 ·央视新闻频道《24小时》谈互联网彩票停售
 ·互联网彩票叫停幕后:坐私庄资金挪用频发
 ·财政部废止11份彩票文件 网络售彩或迎新