Фактические изображения не будут содержать код.Но ничто не мешает кому-то попытаться загрузить файл «изображения», а затем попытаться заставить его исполниться.
Ваши интерпретаторы (Perl, PHP и т. Д.) Должны быть настроены так, чтобы они выполнялись только определенным образом.типы файлов (т.е. .php или .php5).Нет причин, по которым Perl или PHP должны анализировать файлы изображений.
Просто используйте следующий здравый смысл, чтобы защитить себя:
1) Проверьте тип mime-документа
2) Принудите политикикоторые позволяют загружать только файлы с определенным расширением
3) Не принимать имена файлов по номиналу.Сгенерируйте свое собственное внутреннее имя файла и используйте таблицу базы данных для сохранения соответствия.
4) Если вы действительно параноик, найдите какой-нибудь код, чтобы проверить, что байтовые подписи действительны для данного типа загрузки файла.