极度严重bug官方快看，非图档竟然也能上传。

近期在测试Discuz系统
分类讯息中我设置要上传封面图片，我发现可以上传非图档之外的档案。

若要是骇客上传了exe怎办！！这儿怎会这样？

怎么连个官方都没有呢

不知道你想说明啥,难道可以上传限制属性扩展名之外的文件名? .ｅｘｅ?  .ｐｈｐ?

编辑用户组>>论坛相关>>附件相关

允许附件类型：设置允许上传的附件扩展名

自己设置问题。。全局设置附件以后用户组也需要设置

谢各位指教，但就算是自己设置问题，可是我是上传图档，并不是上传RAR
正常应该要验证档案格式，但他却先上传后显示不能上传此档案类型

loveyou520tw 发表于 2017-6-3 09:58
谢各位指教，但就算是自己设置问题，可是我是上传图档，并不是上传RAR
正常应该要验证档案格式，但他却先 ...

就算它是全世界上最剧毒的病毒,只要把它的 .exe 改成 .jpg 那它的危害性就是0!
别人上传到你网站服务器你就不愿意了,那你也可以把恶意程序改成 .jpg .flv .mp3别人访问你网站时它电脑也是无条件下载的, 他是不是也该来找你麻烦了?

jiangchuankyo 发表于 2017-6-3 10:14
就算它是全世界上最剧毒的病毒,只要把它的 .exe 改成 .jpg 那它的危害性就是0!
别人上传到你网站服务器 ...

我这儿的意思是说 ..图片上传的功能完全无视，直接就上传了。
虽然提示了只限制jpg、gif、png，但当他点选择档案后一样会直接先传上伺服器，才显示『只能上传jpg、gif、png』