当时误打误撞发现的，觉得挺奇葩的，记录下

一个正常的图片上传的点，文件类型白名单

但是比较巧的是当时刚对上面的id进行过注入测试，有一些遗留的测试 payload 没删，然后在测试上传的时候就发现.php的后缀可以上传了，直接从白名单变成任意文件上传了。

id的正常格式是一串数字，但是如果将id出改成字符串，然后再修改上传的文件名为.php，就可以成功上传了，很奇怪的逻辑处理。当时的猜测是id处判断字符串错误进入了一个没有验证上传文件类型的代码段，导致直接任意文件上传了。

后面出于好奇，想验证下和我的猜测是否一致，去源码里面看了一眼，果然跟我的猜测一致，关键代码如下：

<?php public function upload(){.......$id = intval($this->post('id'));.......$real_file_type = [];       // 限制文件类型$real_file_size = 0;        // 限制文件大小if ($id) {$where = "id = {$id}";if ($menu_id) {$where .= " and menu_id = '{$menu_id}'";}$config = publics::getOne(ApplyExtraField::TABLE, 'type, options', $where);if (empty($config)) {return $this->returnJson(400, $this->language['parameter_error']);}if (!in_array($config['type'], [8, 11, 12])) {return $this->returnJson(400, $this->language['error_field']);}$options = json_decode($config['options'], true);$condition = $options['condition'] ?? [];$real_file_type = $condition['file_type'] ?? [];$real_file_size = isset($condition['file_size']) && $condition['file_size'] ? $condition['file_size'] * 1024 : 0;}.......// 上传文件只会上传一个foreach ($this->request->getUploadedFiles() as $file) {$file_size = $file->getSize();$file_name = $file->getName();$file_type = strtolower($file->getExtension());// 判断文件类型if ($real_file_type && !in_array($file_type, $real_file_type)) {// 删除 Redis 列表中值$this->redis->lRem($uploadFileKey, $uploadFileVal, 0);$this->redis->sRem($executionListKey, $fileJsonStr);return $this->returnJson(400, $this->language['file_format_error']);}$fileExt = $fileExt ?: $file_type;.......}.......return $this->returnJson(200, $this->language['upload_success'], ['name' => $file_name,'url' => $file['url'],'file' => $file]);}?>

首先这里的正常功能是接收到的id是一串数字，只要不是数字0，if ($id)就是True的，然后会根据menu_id去数据库中查询相关信息返回给，经过几层处理$real_file_type = $condition['file_type']，会得到数据库中查询出的文件白名单类型。

然后if ($real_file_type && !in_array($file_type, $real_file_type))会判断$file_type是否在白名单$real_file_type中，不在的话，就从Redis列表和集合中删除相应的值，并返回一个JSON格式的错误响应。

而当$id是字符串时，if ($id) 就是False

这样的话$real_file_type数组就没有接收到数据库查询出来的白名单，还是为空。而$real_file_type = []的话，if ($real_file_type && !in_array($file_type, $real_file_type)) == False，直接直接跳过判断文件类型，数组为空也没法做白名单校验。直接导致了任意文件上传。