Mime type ile dosya tipi "image" sistemini seçmişsiniz ama bu bypass edilip aşılabiliyor.
Dosya uzantı kontrolü gibi şeyler yapınız.
Bütün resim formatlarına izin vermeniz de açık doğurabilir. Örneğin gif dosyası içine zararlı shell komutları yazıldığı zaman verotnet bunu yine gif olarak görür ve çok farklı şekilde kullanabilmek mümkün. Önerim sadece jpeg,jpg veya png uzantılı resimlere izin vermeniz. İyi günler dilerim.
--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 16:07:19 -->-> Daha önceki mesaj 16:05:29 --
ek olarak $resim değişkenine hiç bir filtreleme yapmamışsınız. Basit xss yöntemleri ile bile aşılabilir.
Verdiğiniz tüm değerli önerileri tekrar uygulayacağım arkadaşlar. Çok teşekkür ederim. Büyük ihtimal dosya tipini byPass edip atmışlar sheli.