完整安全圖像上載腳本我不知道這是否會發生，但我會嘗試一下。過去一小時，我研究了圖像上傳安全性。我了解到有很多功能可以測試上傳。在我的項目中，我需要保證上傳的圖像。也可能有相當大的數量，并且可能需要大量帶寬，因此購買API不是一種選擇。所以我決定獲得一個完整的PHP腳本，用于真正的安全圖像上傳。我也認為這對許多人有幫助，因為找不到真正安全的人是不可能的。但我不是php的專家，所以添加一些功能對我來說真的很頭疼，所以我會請求這個社區幫助來創建一個真正安全圖像上傳的完整腳本。關于它的真正偉大的話題在這里（但是，它們只是告訴我們需要做什么，但不是如何做到這一點，正如我所說我不是PHP的高手，所以我無法做到這一切我自己）： PHP圖像上傳安全檢查列表https://security.stackexchange.com/questions/32852/risks-of-a-php-image-upload-form總之，他們告訴這是安全圖像上傳所需要的（我將從上面的頁面引用）：使用.httaccess禁止PHP在上傳文件夾中運行。如果文件名包含字符串“php”，則不允許上傳。僅允許擴展名：jpg，jpeg，gif和png。僅允許圖像文件類型。禁止具有兩種文件類型的圖像。更改圖像名稱。上傳到子目錄而不是根目錄。也：使用GD（或Imagick）重新處理圖像并保存處理后的圖像。所有其他人都對黑客來說很有趣“正如rr指出的那樣，使用move_uploaded_file（）進行任何上傳“順便說一句，你想要對你的上傳文件夾非常嚴格。那些地方是許多漏洞發生的黑暗角落之一。這適用于任何類型的上載和任何編程語言/服務器。檢查https://www.owasp.org/index.php/Unrestricted_File_Upload第1級：檢查擴展名（擴展名文件以）結尾第2級：檢查MIME類型（$ file_info = getimagesize（$ _ FILES ['image_file']; $ file_mime = $ file_info ['mime'];）級別3：讀取前100個字節并檢查它們是否具有以下范圍內的任何字節：ASCII 0-8,12-31（十進制）。級別4：檢查標題中的幻數（文件的前10-20個字節）。你可以在這里找到一些文件頭字節：http：//en.wikipedia.org/wiki/Magic_number_%28programming%29#Examples您可能還想在$ _FILES ['my_files'] ['tmp_name']上運行“is_uploaded_file”。請參見http://php.net/manual/en/function.is-uploaded-file.php這是它的重要組成部分，但仍然不是全部。（如果您知道更多可能有助于使上傳更安全的內容，請分享。）這就是我們現在所做的事情所以，我要問的是通過發布代碼片段來幫助我（以及其他所有人）使這個圖像上傳腳本變得超級安全?；蛘咄ㄟ^共享/創建添加了所有片段的完整腳本。