事情就是这样,任何人都可以使用任何类型的扩展,只要他们在链接的末尾放置.png
http://rsps50.com/logout.php?.png是某人正在使用atm,这导致我的网站上的每个人如果访问主页都要注销.
这是我试图阻止它,但没有工作:(
if (empty($_POST['banner'])) {
echo '<font color="red">Please add a banner for your server</font><br />';
$b = FALSE;
} else if (strpos($b, '.PHP') !== false) {
echo 'You can only use image extentions';
$b = 'http://image.com/image.png';
} else {
$b = strip_tags($_POST['banner']);
}
<input name="banner" value="<?PHP if (isset($_POST['banner'])) echo $_POST['banner']; ?>" class="form-control" accept="image/x-png, image/gif, image/jpeg" type="text" placeholder="http://example.com/example.png" required>
有任何想法吗?谢谢
解决方法:
您在为其赋值之前使用变量$b.
所以第四行应该是:
} else if (strpos($_POST['banner'], '.PHP') !== false) {
如果你想寻找除.PHP之外的其他扩展,你可以使用这样的正则表达式:
} else if (preg_match("/\.(?:html|PHP|asp|js)/i", $_POST['banner'])) {