我创建了一个包含字符串的文件,并将其重命名为example.jpg. 该文件随后通过WordPress媒体库上传,并实际通过。
如果同一个文件包含像EICAR病毒签名这样的恶意代码,这就不好了。
有没有办法避免这种情况?我在看wp_check_filetype_and_ext 函数,但不确定它是否是解决问题的正确方法。
WordPress媒体库允许上传假文件
1 个回复
SO网友:Tom J Nowell
如果文件不是图像,则根据允许的列表检查其mime类型。
因为您的示例将生成一个文本mimetype,并且它是允许的文件扩展名,所以它将通过。除非您的服务器以PHP的形式执行图像文件,否则应该没有任何问题,在这种情况下,这个问题是您最不关心的。
如果你认为这是一个bug,你应该打开一个Trac记录单,这里不是报告WP bug的地方
结束