今天测试会员中心功能，为了检验一下安全性，将一个非图片文件扩展名改成了jpg格式，进行上传竟然直接就可以成功上传。现在程序好象只是根据扩展名进行文件类型判断，对于是否是正确的文件格式并没有检测，有的木马可以伪装成图片格式，绕过系统的检测，如果是自己的服务器还好说，但是如果是虚拟主机用户就危险了，因为曾遭遇过一些被入侵的经历，所以对安全问题非常的敏感。asp木马是目前比较流行的漏洞，建议科汛加强一下防范功能。

以上仅代表本人个人意见，没有经过认真测试。

[此贴子已经被作者于2006-7-11 13:40:44编辑过]

谢谢 kesion 管理员的回复，本人是一个菜鸟，只是觉得安全问题很重要，所以就提了出来，至于好的方法实在是谈不上，我现在通常都是针对文件头编码进行检测，但这也不是最好的方法，还是有可能被木马绕过。希望科汛官方能有更好的方法。也许远程发布会好些吧。

这个问题．我们会重视．

不知，你有什么好的检测方法可行．