dedecms v5.7 漏洞 图片不能上传

2014-10-10 08:31 提问者:匿名| 分类:程序相关| 解决时间:2014-10-11 10:56
我在本地测试dedecms v5.7   ,会员文章时,会有一个选择上传图片,选择后提交,会有这样的一个提示:
  Uploads filetype no allows             不能发表啊,  如果不上传图片就可以,这是怎么回事
2014-10-11 06:48最佳答案
不润许的,也不建议啊,我虽然不知道你为什么非要把图片放在根目录,但我觉得这样会给安全方面带来很大的危害,为了不让用户得到更大的权限一般将附件文件价的属性设置成不容许执行脚本,而你如果将图片设置的可以上传到根目录,根目录必须的有可以执行php脚本的,这样如果有的用户将php木马伪装上传到你的根目录就会对你的网站有所有的权限,虽然dedecms已经对用户上传的文件做了限制,只容许图片格式的文件上传,但也只是从扩展名上做一下简单的判断,如果木马起一个jpg或其他格式的扩展名就可以上传上来,再利用iis漏洞就可以得到执行。从而获得你的网站权限。希望对你有所帮助。