jpg、jpeg、png、および gif ファイルを別のディレクトリにアップロードできるようにする php 画像アップロード スクリプトがあります。もちろん、アップロード スクリプトで mime/type とファイル拡張子をチェックしますが、賢明なハッカーであれば、これらを簡単に回避できます。
どういうわけか、これらの画像ファイルに実行可能コードを埋め込むことができるという漠然とした理解があります。1 時間以上グーグルで調べましたが、標準の Godaddy Apache 構成でイメージ内のコードを実行する方法をまだ見つけていません。私が見つけたのは、ファイルの種類が test.php.jpg のようなものであれば、コードが実行される可能性があるということだけでした。そのため、その特定のアップロード フォルダーの htaccess ファイルを次のように変更しました。
RewriteEngine on
RewriteRule !^([0-9]*)[.](jpg|jpeg|gif|png)$ /error.php?
私の質問は、これで十分なのか、それともまだ脆弱なのかということです。もしそうなら、実行可能コードではなく純粋なイメージだけになるようにファイルを保護する方法についてのアイデアはありますか?