含代码的图片，也被扫出来了。

paladinet

左边是原图，右边是用二进制文本编辑器打开图片看到的内容，明显有脚本代码。


这是含脚本代码的图片，官方的似乎也能上传。

请教各位大神：

看截图这个图片里被坏人放进去代码了，如果才能让上传的文件自动去掉这些代码，或干脆不让上传！

另外就是已经上传的过的，如果才能让这些文件不会被执行？

还有就是这个代码想做什么呢？

原图在压缩文件中。

我知道答案 回答被采纳将会获得1 贡献 已有12人回答

Killer

服务器图片文件夹设置好权限不允许执行就可以了

paladinet

Killer 发表于 2020-3-13 00:38
服务器图片文件夹设置好权限不允许执行就可以了

设置了，也不行，插件目录呢？现在好多的插件都是加密的。

Killer

paladinet 发表于 2020-3-13 08:22
设置了，也不行，插件目录呢？现在好多的插件都是加密的。

首先，没多少插件是加密的，且应用中心审核时是看的源代码，不会有挂马行为的，请不必考虑这部分。

插件目录一般不存上传的图片，即便要存，也可以单独设置存图片的目录的权限，和加密与否根本也是无关的

老周部落

此类图片是通过什么渠道上传的？论坛附件？头像？

另外服务器正常做好安全配置的话，此类代码不会被执行，请知悉。

耗子

关闭解析权限即可 吧DATA 相应的附件  拒绝执行的权限

paladinet

Killer 发表于 2020-3-13 10:15
首先，没多少插件是加密的，且应用中心审核时是看的源代码，不会有挂马行为的，请不必考虑这部分。

插件 ...

1314的插件都是加密的。还有keke的！

dashen

除非你服务器配置有问题，允许图片被当做php执行，否则不会有问题

crx349

一般是挂马用的

hhb121

没有办法禁止上传图片木马，因为需要上传图片功能

但是，不论是插件中的文件数据储存目录还是dz系统的data目录以及uc中的头像上传目录等，不论是在linux还是win系统中，都可以使用禁止脚本权限来限制该目录执行脚本文件权限，把上传目录当作静态文件输出目录即可，只允许读取就可以完美解决问题了，从源头上不给图片木马的提权机会。