事情就是这样,任何人都可以使用任何类型的扩展,只要他们在链接的末尾放置.png

http://rsps50.com/logout.php?.png是某人正在使用atm,这导致我的网站上的每个人如果访问主页都要注销.

这是我试图阻止它,但没有工作:(

if (empty($_POST['banner'])) {
  echo '<font color="red">Please add a banner for your server</font><br />';
  $b = FALSE;
} else if (strpos($b, '.PHP') !== false) {
  echo 'You can only use image extentions';
  $b = 'http://image.com/image.png';
} else {
  $b = strip_tags($_POST['banner']);
}

我应该注意,我不允许图像上传,我使用输入字段,然后回显链接

<input name="banner" value="<?PHP if (isset($_POST['banner'])) echo $_POST['banner']; ?>" class="form-control" accept="image/x-png, image/gif, image/jpeg" type="text" placeholder="http://example.com/example.png" required>

有任何想法吗？谢谢

解决方法:

您在为其赋值之前使用变量$b.

所以第四行应该是：

} else if (strpos($_POST['banner'], '.PHP') !== false) {

如果你想寻找除.PHP之外的其他扩展,你可以使用这样的正则表达式：

} else if (preg_match("/\.(?:html|PHP|asp|js)/i", $_POST['banner'])) {