文件上傳類應用的范圍還是很廣泛的，利用這個應用同樣也可以進行攻擊。文件上傳的方式有多種，可以通過FTP也可以通過HTTP等，對比起來，FTP的上傳需要管理大量的用戶帳號，并且無法進行SSL編碼，安全上稍遜一籌，并且無法對不同類型的文件進行批量分類上傳處理，同時在對上傳文件大小、類型上無法很好的控制，因此，通過HTTP方式上傳是現在很普遍的WEB用法。
在標簽中，需要將type設置為file，如input標簽。
現在假設說，我們先制作一個待上傳的文件，如：

 example.php
<?
php echo "success"
?>

完成后，在有漏洞的頁面上傳該可以文件，成功后，可以查看它的路徑地址（或者之前可以通過上傳一張正常圖片文件，來探測上傳后文件們的存放地址），然后通過"http://....../example.php"就可以執行剛上傳的這個文件，如果這個文件中不像我們剛剛設置的那樣，只是執行打印功能，而是進行刪除，覆蓋、修改、或者是上傳超量大小的文件、連續上傳文件等，都會導致站點的無法訪問。

那么對應這個情況，如何去進行防范呢？
1、不開放上傳功能（如果可以的話）
2、限制上傳文件的類型
3、限制上傳文件的大小
4、隱藏文件路徑
5、檢查上傳文件中是否含有惡意信息（如檢查圖片文件是否正常編碼開頭結尾）

但是對于如EXCEL類宏病毒的攻擊，好象這幾個方法就無效了，后續將研究宏病毒的檢查和防范。