Posso evitare un processo di verifica delle immagini di caricamento dell'avatar e caricare un file PHP o qualsiasi altra estensione che leghi un'immagine jpeg valida.
Questo è il codice:
if ($image->valid()) {
$mimeType = $image->mimeType();
if ($mimeType !== 'image/jpeg' && $mimeType !== 'image/png') {
return new DataResponse(
['data' => ['message' => $this->l->t('Unknown filetype')]],
Http::STATUS_OK,
$headers
);
}
Ad esempio:
-
scarica image1.jpg
-
come puoi vedere se apri il file image1.jpg sul blocco note, in questo caso nasconde il codice PHP
( phpinfo();
. -
rinomina image1.jpg in image1.php e prova a caricarlo sul caricamento dell'avatar modulo. Passa la verifica.
Come proteggere questo codice?