答案：文件上传攻击就是网站对用户上传的文件类型判断不完善或者有其他漏洞，攻击者可以上传含有可执行程序的文件，文件可以是木马、病毒、恶意脚本或者WebShell等。这里程序在某种情况下上传文件目录被Web服务器执行或者在用户浏览网页时被触发执行，从而达到攻击的目的。当然达成攻击的前提条件是，这些上传文件上传后可以被访问，或者有在上传目录执行命令的权限。

如何让文件上传功能尽可能安全呢？这里建议几种方法。

• 设置保存上传文件的目录为不可执行。这样可有效保证服务器的安全。
• 判断文件类型：在判断文件类型时，可以结合使用MIME Type、后缀检查等方式。在文件类型检查中，强烈建议采用白名单的方式。此外，对于图片的处理可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的恶意代码。
• 对文件上传内容进行安全检测，检查是否包含病毒、木马或其他恶意脚本。
• 使用随机数改写文件名和文件路径。