>用户可以上传图像文件(png,gif,jpg,jpeg,tiff和其他几个)或zip文件

我检查mime类型和扩展名,如果不允许,我不允许上传(这不是我担心的部分).

现在,一旦上传,我将文件重命名为唯一的哈希并存储在root访问权限之外的文件夹中.

用户现在可以通过短URL访问该文件.我通过为标题设置正确的mime-type来使文件可访问,然后我只使用readfile().

我的问题是图像文件中包含jar文件的漏洞利用是否适用于此？我将图像作为纯图像提供.

如果有什么办法可以防止这种情况发生？

谢谢.