در کل استناد به پسوند یا MIME Type خوبه و بد نیست ولی به شرطی که علاوه بر اون، چند کار دیگه هم انجام بدیم:
1- در قسمت اسم فایل (نه پسوند) هرچی کارکتر . هست به یک کارکتر دیگه تبدیل یا کلاً حذف کنیم تا فایل، چند پسوندی نباشه (افزونه mod_php آپاچی در این مورد باگ داره).
2- حتی الأمکان فایل رو از فیلترهای مربوطه (مثل GD و...) بگذرونیم و ازطریق اونها محتوا رو خونده و دوباره یک فایل جدید روی سرور بسازیم نه اینکه با copy و move_uploaded_file و... دقیقاً همون فایلی که آپلود شده رو به پوشه آپلود منتقل کنیم.
3- مجوزهای خطرناک (بطور خاص Execute) رو از فایلهای پوشه آپلود بگیریم.
پاسخ با نقل قول
نوشته شده توسط MMSHFE
