*后端验证(必须):采用服务端验证模式,防止前端JS验证。后缀检测:基于黑/白名单进行限制。MIME检测:基于文件上传自带的类型检测。内容检测:文件头,完整性检测。设置特定函数:使用一些特定函数(或自己写特定函数)例如getimagesize这样一类的函数严格要求只能上传图片,若无文件包含漏洞则无任何利用价值。部署WAF。
