Spo web maker

<?php echo mb_substr($list[$i]['wr_2'], 0, 18,"utf-8"); ?>

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다. 

예제 (ex #1 
 <?php  
 $filename = "test.php."; 
 $ext = array_pop(explode(".", strtolower($filename))); 

 if(@ereg($ext, "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."; 
 } 
 ?> 

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다. 

예제 (ex #2 
 <?php  
 $filename = "test.gif.bmp.php."; 
 $ext = explode(".", strtolower($filename)); 

 $cnt = count($ext)-1; 
 if($ext[$cnt] === ""){ 
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."; 
    } 
 } else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."; 
 } 
 ?>