gsfish

第 1675 位会员

会员
个人信息
  • 加入于 2019-09-30 20:01:26
  • 最后登录时间 4年前
个人成就
  • 发表文章次数 0
  • 发布回复次数 2
  • 个人主页浏览次数 2
关于某fecmaller提的关于后台图片可以上传任意图片文件的问题4年前

看到了作者的patch,应该没什么问题了。getimagesize()是通过检查文件头的方式来对图片进行验证的(很容易伪造),因此在后端做后缀名检测还是有必要的

【置顶】Fecmall 各种疑问对应的回复4年前

这个issue可以看一下吗,有个后端的任意文件上传漏洞。只在前端校验了文件类型,后端直接用了,会导致木马被上传: https://github.com/fecshop/yii2_fecshop/issues/77

Your Site Analytics