文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

【黄啊码】如何使用PHP检查图像是否存在于远程服务器上

众所周知,用PHP访问其他api接口,大都是用curl【当然,很多高级程序员瞧不上】,那么我们现在先用curl方式看看,代码简单如下: function checkRemoteFile($url) {...= 'http://www.example.com/example.jpg'; if (@getimagesize($external_link)) { echo “image exists “; }...然后,您可以使用CURLOPT_FAILONERROR将整个过程转换为真/假types检查 你可以使用getimagesize() 比如: http : //junal.wordpress.com/2008...任何人都有这个方便吗?...== false) fclose($fp); return($fp); } 复制代码 如果图像全部存在于相同的远程服务器上(或在同一networking中),则可以在该服务器上运行Web服务,以检查文件系统中的映像文件并返回一个

3K30

3分钟短文 | PHP 如何优雅地获取文件扩展名?别再explode了

引言 通常文件扩展名在Linux系统上是没有意义的,仅是用来标记该文件属于哪种类型?但是大多数,我们从浏览器上访问Web程序。...这样的实现方法完美吗?有更好的吗? 如果文件名字符串比较特殊,这样的程序会不会 explode 失败返回 False?从而抛出异常? 有可能会!所以这个写法是有 bug 的。...PHP 都准备好函数了! PHP 是一个工具箱,内置了无数实用的函数。有一个函数就是专门设计来解决这个需求的:pathinfo。...再比如,有开发者人为你只是要图片的扩展名,那么大可以直接使用 image 相关的函数 getimagesize: $image = getimagesize($_FILES['image']['tmp_name...因为这就是 PHP 官方给定的方式,为啥不用?

99830
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    PHP任意文件上传漏洞(CVE-2015-2348)

    这段代码有好多个漏洞,比如XSCH, XSS等,但是没有RCE这种严重的漏洞,因为从PHP 5.3.1开始,空字符的问题已经被修复了。...']['tmp_name'],"/file.php\x00.jpg"); 这本应该创建一个名为file.php\x00.jpg的文件,但实际上创建的文件是file.php。...这样,就绕过了代码中对后缀名的校验,并且事实证明GD库中又很多其他函数也存在这个问题(比如getimagesize(), imagecreatefromjpeg()...等),可以看这个例子。...如果你机器的php版本在 5.4.39, 5.5.x - 5.5.23, 或者 5.6.x - 5.6.7,可以通过检查文件名中是否有\x00字符来解决本文中所述的问题。...安全建议 如果你的机器上存在这个漏洞,建议使用随机字符串重命名文件名,而不是使用用户上传上来的name参数的值。

    2.2K50

    【黄啊码】如何确保php上传的图片是安全的?

    他们将是: 等级1:检查分机(分机文件结尾) 级别2:检查MIMEtypes($file_info = getimagesize($_FILES['image_file']; $file_mime =...攻击者通过邮件,下午或者通过他或者任何其他站点上的iframe发送链接给你的用户。 最安全的解决scheme 使上传的内容仅在子域或其他域上可用。 这样cookies不会被访问。...虽然这不是一个防弹的办法,启发式使用做了很好的工作。 getimagesize()也可以做得很好,但是其他大部分的检查都是无稽之谈。 例如,为什么stringphp不允许在文件名中。...你不打算在PHP脚本中包含图像文件,只是因为它的名称包含phpstring,是吗? 当涉及到重新创build图像,在大多数情况下,它会提高安全性,直到你使用的图书馆不容易。...将它们保留在同一台服务器上,并使用PHP脚本代理请求,以确保文件只能读取,不可执行。

    1.8K31

    网络安全 DVWA通关指南 DVWA File Upload(文件上传)

    "hackable/uploads/"; // 获取上传文件的原始名称,并将其附加到目标路径上,以构建完整的文件存储路径 $target_path .= basename( $_FILES...填写完成后,点击页面中的「添加」按钮,这时候你刚刚输入的信息会被保存为一个新的Shell条目,并能在数据管理列表中看到它。...$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ]; // 上传文件的临时存储路径 // 检查文件扩展名是否为允许的图像格式(不区分大小写...( $uploaded_tmp ) ) { // 使用getimagesize()确保文件是可识别的图像 // 尝试将上传的临时文件移动到指定的目标路径 if( !...> getimagesize()函数,用于获取图像文件的大小以及相关信息。该函数会检查图片文件头,如果不存在或不是一个有效的图像文件则报错。

    61510

    | BUU

    that, please'; return back() ->withErrors($error); } } } 控制器工作流程.../storage/app/uploads 所以我们上传的文件保存路径实际上为....._openImage()获取图片大小使用的是getimagesize($this->src) $this->src可控 我们搜索php文档可以看到php4.0.5以后是可以使用url加载图片的 这时候可以想到一个问题...**\但很可惜因为过滤了'如果使用以上的方法过滤的话中间两个单引号的话那么整个语句都在一堆双引号之中, 完全执行不了命令 根据上面可知, 如果我们想要获得admin的code的话只能在逃逸出来的条件里面逐个判断...这样子就不会返回内容了而是返回error 这里就有了两个判断区别, 我们可以选用exp(710-(判断))或者~0+(判断)作为输出结果,因为exp(710)和~0+1都超出了最大证书范围导致报错而不返回

    78020

    回忆phpcms头像上传漏洞以及后续影响

    > 在文件上传解压到被删除这个时间差里访问,就能在网站根目录下生成新的php文件,那么新生成的php文件是不会被删除的。...但是实质上这也只是解决了一个芝麻小的问题,而真正出现漏洞的点他们并未进行修复。 我们看到这段代码: 上! 在官网被我日了以后finecms依旧无耻地说自己已经修复了这个漏洞,真稀奇。 过了半个月我看到了他们最新的代码: php if (!..../”、“..”这种文件名的,但通常不含有不代表不能含有。我如果把压缩包中某文件名改成../../../../../index.php,是不是就能直接把你首页变成我的webshell呀?...为何你不把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,还会有这么麻烦的安全问题吗?

    2.1K30

    在Ubuntu 系统中怎么切换多个 PHP 版本

    有时,最新版本的安装包可能无法按预期工作。你的程序可能与更新的软件包不兼容,并且仅支持特定的旧版软件包。在这种情况下,你可以立即将有问题的软件包降级到其早期的工作版本。...过了一段时间,你发现应用程序在 PHP 5.6 中工作正常,但在 PHP 7.2 中不正常(Ubuntu 18.04 LTS 默认安装 PHP 7.x)。...你打算重新安装 PHP 或整个 LAMP 栈吗?但是没有必要。你甚至不必将 PHP 降级到其早期版本。...php5.6 从 PHP 7.x 切换到 PHP 5.x....a2enmod php5.6 将 PHP 5.6 设置为默认版本: $ sudo update-alternatives --set php /usr/bin/php5.6 或者,你可以运行以下命令来设置默认情况下要使用的全局

    4.3K20

    腾讯php面试题之 – PHP开发工程师笔试试卷

    array_merge_recursive 合并两个数组,如果数组中有完全一样的数据,将它们递归合并 array_combine 和 ‘+’ :合并两个数组,前者的值作为新数组的键 2.请写一个函数来检查用户提交的数据是否为整数(不区分数据类型...可以通过getimagesize()函数来判断上传的文件类型,如果是头像文件 会返回这样的一个数组 Array( [0] => 331 [1] => 234 [2] =>...答: 原理:一致性hash 原子性 原子性会导致的问题:简单的说就是A,B都想操作key1,然后都在key1上增加自己的信息,就会有问题 memcached是原子的吗?...3)对,则有分,错误不扣,不写无分。 答:PHP可以自动进行内存管理,清除不再需要的对象。...3)最关键的,只需要画出正确的“轮廓”(还记得httpwatch等工具打印出来的头部吗?那就是“轮廓”的含义),也会有分数,但如果,连“轮廓”都写错了,那么就很遗憾了。

    1.3K10

    rpm 安装 忽略依赖_rpm卸载软件忽略循环依赖

    今天由于某些原因需要卸载掉服务器上的php软件,然后我使用下面命令显示出本机安装的所有和php相关的软件,如下: iteblog$ rpm -qa | grep php php-mysqlnd-5.6.25...x86_64 php-pecl-memcache-3.0.8-3.el6.remi.5.6.x86_64 php-pdo-5.6.25-0.1.RC1.el6.remi.x86_64 php-mbstring..._64 一切都很正常,但是当卸载到php-pecl-jsonc-1.3.10-1.el6.remi.5.6.x86_64和php-pecl-zip-1.13.4-1.el6.remi.5.6.x86_64...……………………这里省略了很多输出………………… 这不就是卸载的时候忽略依赖检测吗?...本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

    2.5K10

    2019强网杯Upload题Writeup

    日常废话 强网杯过去有一段时间了,开始时因为在外地,没什么时间,下飞机的时候刚好比赛结束,所以题目基本没碰,难得暑假有时间了,把以前在PHP反序列化上的不足弥补了一下,打算照着其他老师傅的writeup.../index"; $this->redirect($curr_url,302); exit(); } } 要确保里面的内容不会被执行, checker不赋值或者等于...this->ext_check(); } 两个文件名的参数都没有什么过滤,唯一的阻碍是 ext_check(),他会判断你的后缀是否为png,没啥用 第三个if if($this->ext) { if(getimagesize.../index')); } 首先是ext的值,需要为 True 其次还得注意这个 if(getimagesize($this->filename_tmp)) { ?..."; 执行后将生成的base64内容,通过bp发送到服务器上 ?

    1.5K20

    通过DedeCMS学习php代码审计

    /model.class.php'); common.inc.php 做了很多程序的初始化工作,代码审计时需要重点关注程序处理GPC这些外部数据的方式 common.inc.php 全局处理数据的代码:...$$_key此时为上传的临时文件,来自$_FILES[$_key]['tmp_name'],临时文件将通过getimagesize()来获取图像信息,作为安全人员,应该要对这个函数敏感一点了,getimagesize...通过iframe被嵌入在index.php页面中,可以看到的是dedecms在后台基本还是使用的多入口文件去处理每个功能,只是使用iframe框架让所有功能在index.php页面下显示了而已 小结 通过全局分析...,感觉dedecms这个系统还是比较”老气“的,和phpcms的处理方式还是有很大不同的,感觉上phpcms的处理更加接近mvc的思想,虽然看到dedecms也声称做了mvc的架构,菜鸡的我是否还看不到那一层...这个系统这么刚的吗? 看了半天代码很尴尬,然后我就不太想看后台的文件上传了。。。。 有趣的文件上传 后面翻阅dedecms历史漏洞,发现会员中心处存在一个文件上传漏洞。

    23.3K30

    升级vs更新,用词莫忘准确(附PHP版本升级教程)

    升级vs更新 Web技术日新月异,更新升级是维护工作之一,长时间不更新(升级)的程序,就如长时间不维护的建筑物一样,会加速老化、功能逐渐缺失直至无法使用。...在实际升级工作中,主要存在两种形式的版本变化目标: 大版本变化,例如:MySQL5.6->MySQL5.7,PHP5.6->PHP7.0 小版本变化,例如:MySQL5.6.25-->MySQL5.6.30...,PHP5.6.33->PHP5.6.37 程序的大版本变化,是从功能上、架构上都有显著的改变(质变),升级过程复杂,存在升级失败的风险 程序的小版本变化,是从补丁漏洞的角度上提供的更新内容(量变),升级过程相对简单...区分这两个词的差别,莫忘用词准确哦~ PHP版本升级教程 在实际使用过程中,会遇到升级 PHP 大版本的情形,如:从 PHP5.5->PHP5.6 或 PHP5.6->PHP7.0等。...以PHP5.5->PHP5.6为例,具体如下: 连接到Linux服务器后,依次执行如下命令: //首先,禁用当前 PHP55 源 yum-config-manager --disable remi-php55

    98220

    DVWA笔记(五)----File Upload

    > 分析: basename(path,suffix) 函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。...然后菜刀就会通过向服务器发送包含apple参数的post请求,在服务器上执行任意命令,获取webshell权限。 可以下载、修改服务器的所有文件。 ? 同时可以右键获得cmd终端 ?...不幸的是,虽然成功上传了文件,但是并不能成功获取webshell权限,在菜刀上无论进行什么操作都会返回如下信息。 ?...getimagesize(string filename) 函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。...同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。

    1.7K20

    文件上传漏洞的一些总结

    这时攻击者可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(jsp、asp、php、aspx文件后缀)到服务器上,从而攻击者访问这些恶意脚本对包含的恶意代码动态解析最终达到执行恶意代码的效果,进一步影响服务器安全...(2) 文件头检测绕过 //检查是否图片 if(function_exists('getimagesize')) { $tmp_imagesize = @getimagesize($new_name...的一串检查图片代码,使用getimagesize函数无法判断其图片是无效的 我们只需要再上传的文件头加入GIF89a 便可以欺骗服务器认为我们的文件是图片。...空字节代码执行漏洞 影响版本:0.5,0.6,0.7<=0.7.65,0.8<=0.8.37 Nginx在图片中嵌入PHP代码然后访问xxx.jpg%00.php来执行其中的代码 (3)截断后缀上传 部分上传功能在对后缀名进行验证时存在缺陷...WebKitFormBoundary5YpmA9D3wW207kB7-- 上传处理时将对检测到%00(这里需要对%00进行urldecode)并对.jpg字符串进行截断删除,最终文件名为xxx.jsp导致可成功上传动态脚本到服务器上

    3.3K61
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券