怎么防止用户通过上传功能,上传可执行的PHP文件

2022-11-11 0 436



怎么防止用户通过上传功能,上传可执行的PHP文件

 

在实际的项目开发中,我们经常使用提供表单等文件上传功能。在laravel社区,我们看到了一个关于如何防止用户上传PHP可执行文件的PHP安全指南。

 

上传文件往往在处理不当的情况下,确实会带来比较大的安全风险,特别是用户伪造信息,通过一些特殊请求让上传php可执行文件,从而引发网站的安全问题。

 

那么如何有效的防止用户上传php可执行文件呢?笔者摘录了该问题的解决方法,供大家参考:

 

为了解决这个问题,PHP中内置了一些特殊函数方法,只是为了在这种情况下使用。

 

basename()

 

个解决方案 — basename() 它从路径结束时提取路径的一部分,直到它遇到个斜杠,但忽略字符串末尾的斜杠,参见示例。无论如何,你会收到一个安全的文件名。如果你觉得安全 – 那么是的这很安全。如果它被不法上传利用 – 你可以使用它来校验文件名是否安全。

 

realpath()

 

另一个解决方案 — realpath()它将上传文件路径转换规范化的路径名,从根开始,并且根本不包含任何不安全因素。它甚至会将符号链接转换为此符号链接指向的路径。

 

因此,您可以使用这两个函数来检查上传文件的路径。要检查这个文件路径到底是否真正属于此文件夹路径。

 

函数代码

 

编写了一个函数来提供如上的检查。我并不是专家,所以风险请自行承担。代码如下。

 

  • <?php
  • /**
  •  * Example for the article at medium.com
  •  * Created by Igor Data.
  •  * User: igordata
  •  * Date: 2017-01-23
  •  * @link https://medium.com/@igordata/php-running-jpg-as-php-or-how-to-prevent-execution-of-user-uploaded-files-6ff021897389 Read the article
  •  */
  • /**
  •  * 检查某个路径是否在指定文件夹内。若为真,返回此路径,否则返回 false。
  •  * @param String $path 被检查的路径
  •  * @param String $folder 文件夹的路径,$path 必须在此文件夹内
  •  * @return bool|string 失败返回 false,成功返回 $path
  •  *
  •  */
  • function checkPathIsInFolder($path, $folder) {
  •         if ($path === ” OR $path === null OR $path === false OR $folder === ” OR $folder === null OR $folder === false) {
  •             /* 不能使用 empty() 因为有可能像 “0” 这样的字符串也是有效的路径 */
  •         return false;
  •     }
  •     $folderRealpath = realpath($folder);
  •     $pathRealpath = realpath($path);
  •     if ($pathRealpath === false OR $folderRealpath === false) {
  •         // Some of paths is empty
  •         return false;
  •     }
  •     $folderRealpath = rtrim($folderRealpath, DIRECTORY_SEPARATOR) . DIRECTORY_SEPARATOR;
  •     $pathRealpath = rtrim($pathRealpath, DIRECTORY_SEPARATOR) . DIRECTORY_SEPARATOR;
  •     if (strlen($pathRealpath) < strlen($folderRealpath)) {
  •         // 文件路径比文件夹路径短,那么这个文件不可能在此文件夹内。
  •         return false;
  •     }
  •     if (substr($pathRealpath, 0, strlen($folderRealpath)) !== $folderRealpath) {
  •         // 文件夹的路径不等于它必须位于的文件夹的路径。
  •         return false;
  •     }
  •     // OK
  •     return $path;
  • }

结语

 

必须过滤用户输入,文件名也属于用户输入,所以一定要检查文件名。记得使用 basename() 。

必须检查你想存放用户文件的路径,永远不要将这个路径和应用目录混合在一起。文件路径必须由某个文件夹的字符串路径,以及 basename($filename) 组成。文件被写入之前,一定要检查最终组成的文件路径。

在你引用某个文件前,必须检查路径,并且是严格检查。

记得使用一些特殊的函数,因为你可能并不了解某些弱点或漏洞。

并且,很明显,这与文件后缀或 mime-type 无关。JPEG 允许字符串存在于文件内,所以一张合法的 JPEG 图片能够同时包含合法的 PHP 脚本。

不要相信用户。不要相信浏览器。构建后端,每个人似乎都在提交病毒。

当然,不要害怕,这比看起来容易。只要记住“不要相信用户”和“有功能可以解决这个问题”。

 

1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!cheeksyu@vip.qq.com
2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有积分奖励和额外收入!
5.严禁将资源用于任何违法犯罪行为,不得违反国家法律,否则责任自负,一切法律责任与本站无关

源码下载

发表评论
暂无评论