paladinet 發表于 2020-3-18 19:52
網上說用include就可以讓圖片中的php代碼運行。

那你得有權限改php代碼去include圖片，如果有權限改php代碼，那干嘛不直接執行后門

dashen 發表于 2020-3-13 15:27
除非你服務器配置有問題，允許圖片被當做php執行，否則不會有問題

網上說用include就可以讓圖片中的php代碼運行。

這種適合，解析漏洞， 包含漏洞。

沒有辦法禁止上傳圖片木馬，因為需要上傳圖片功能

但是，不論是插件中的文件數據儲存目錄還是dz系統的data目錄以及uc中的頭像上傳目錄等，不論是在linux還是win系統中，都可以使用禁止腳本權限來限制該目錄執行腳本文件權限，把上傳目錄當作靜態文件輸出目錄即可，只允許讀取就可以完美解決問題了，從源頭上不給圖片木馬的提權機會。

一般是掛馬用的

除非你服務器配置有問題，允許圖片被當做php執行，否則不會有問題

Killer 發表于 2020-3-13 10:15
首先，沒多少插件是加密的，且應用中心審核時是看的源代碼，不會有掛馬行為的，請不必考慮這部分。

插件 ...

1314的插件都是加密的。還有keke的！

關閉解析權限即可 吧DATA 相應的附件  拒絕執行的權限

此類圖片是通過什么渠道上傳的？論壇附件？頭像？

另外服務器正常做好安全配置的話，此類代碼不會被執行，請知悉。