嵌入 php 图像格式的根本原因是什么

嵌入 php 图像格式的根本原因是什么

有一段时间我一直想问,为什么会有在 GIF 或 PNG 等图像中嵌入 PHP 代码这样的事情(请查看这里或者这里(仅供参考),有什么历史原因吗?谁使用这个功能?

谢谢

答案1

这不是一个功能,而是一个漏洞。一些图像文件格式在图像文件内有一些元数据标头,用于存储图像的创建时间和日期、创建该图像的工具(或相机)等信息。

一些攻击者发现,如果他们将 PHP 代码填充到那些从未为其设计的图像文件元数据头字段中,然后他们让 Web 服务器以正确的方式提供该文件,那么 Web 服务器就会愚蠢到看到 PHP 代码并执行它,即使它是在图像文件中而不是 PHP 或 HTML 文本文件中。

相关内容