上傳目錄去掉可執行權限。

如果技術達到一定水平，其實可以對上傳的文件內容做檢測。圖片包含惡意代碼無非是別人寫的腳本，擴展名改成圖片的擴展名了。內容檢測對script|sh|sudo等一系列關鍵詞進行檢測就出來了。

另外上傳成功一定要更改上傳文件的文件名，亂碼表示，同時上傳路徑不要返回到前端。這樣別人就是上傳了，訪問不到也是沒有意義的。

最后一條是最重要的，一定是你系統存在任意文件上傳漏洞。修復它即可。