|
|
@@ -52,10 +52,9 @@ if ($dopost == "upload") { |
|
|
|
MkdirAll($cfg_basedir.$savePath, 777); |
|
|
|
CloseFtp(); |
|
|
|
} |
|
|
|
//后台文件任意上传漏洞:早期版本后台存在大量的富文本修改器,该控件提供了一些文件上传接口,同时对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限 |
|
|
|
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)$#i', trim($filename))) { |
|
|
|
ShowMsg("您指定的文件名被系统禁止", "javascript:;"); |
|
|
|
exit(); |
|
|
|
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { |
|
|
|
ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); |
|
|
|
exit(); |
|
|
|
} |
|
|
|
$fullfilename = $cfg_basedir.$filename; |
|
|
|
$mime = get_mime_type(${"upfile".$i}); |
|
|
|