测试Web应用程序，我可以上传GIF / JPEG文件，我知道有一个潜在的威胁，包括在PHP代码正确地在GIF / JPEG（因为它用修改imagecreatetruecolor和imagejpeg ）。

我一直在寻找含有一个简单的PHP代码（像的phpinfo或回声“世界你好”）只是为了验证该威胁是混凝土现有的GIF文件。

什么是完美的是包含PHP代码中间或在调色板颜色特制的GIF图像，但我没有成功找到一个。

谢谢你的帮助！

我会回答我自己包含PHP代码执行的JPG文件的链接，但如果别人提供一个更完整的答案，我会提供接受检查;）

下面是包含PHP攻击代码“不安全”的JPEG文件的链接（的phpinfo）

（不用担心，该文件将不会对你做什么）

此外，值得注意的是，即使你成功入载包含PHP代码gif文件，如果gif文件被读作GIF是很重要的（而不是作为PHP执行，通过包括/需要，或配置不当的服务器），它赢得了”采取任何动作，只是有PHP代码在服务器上，没用。

因此，为了使这种攻击来工作，你需要有两个条件：

1. 该网站必须使用一个FileUpload在某些时候，你可以访问
2. 存储的文件必须通过PHP被执行，即使该图像文件（在这种情况下）。

虽然1是很容易有，第二是时下几乎是不可能的。 PHP的默认配置为只对PHP文件运行PHP解释器，或者使用nginx的，阿帕奇，lighttpd的，等等。

总之，这种攻击向量是成功的概率非常低。