php中上传文件的安全性

最新推荐文章于 2024-06-18 02:30:00 发布
最新推荐文章于 2024-06-18 02:30:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: PHP 文章标签: php file upload function 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cho__cho/article/details/819349
版权

在PHP 3 以后可以通过 is_uploaded_file() 函数来判断 $_FILES['userfile']['name']  是否是通过http post方法上传的,从而可以在一定程序上降低风险!
实例如下:
<?php

if (is_uploaded_file($_FILES['userfile']['tmp_name'])) {
   echo "File "$_FILES['userfile']['name'] ." uploaded successfully./n";
   echo "Displaying contents/n";
   readfile($_FILES['userfile']['tmp_name']);
} else {
   echo "Possible file upload attack: ";
   echo "filename '"$_FILES['userfile']['tmp_name'] . "'.";
}

?>

在PHP 3以前则可按以下方法来判断:
<?php
/* Userland test for uploaded file. */
function is_uploaded_file($filename)
{
    if (!$tmp_file get_cfg_var('upload_tmp_dir')) {
        $tmp_file dirname(tempnam(''''));
    }
    $tmp_file .= '/' basename($filename);
    /* User might have trailing slash in php.ini... */
    return (ereg_replace('/+''/'$tmp_file) == $filename);
}

/* This is how to use it, since you also don't have
 * move_uploaded_file() in these older versions: */
if (is_uploaded_file($HTTP_POST_FILES['userfile'])) {
    copy($HTTP_POST_FILES['userfile'], "/place/to/put/uploaded/file");
} else {
    echo "Possible file upload attack: filename '$HTTP_POST_FILES[userfile]'.";
}
?>

以上为我在PHP帮助文档中整理得到

cho__cho
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件操作安全之-文件上传原理篇
村中少年的专栏
09-19 1958
从文件上传漏洞的原理,文件上传漏洞的具体案例,例如CVE-2011-2202 PHP文件上传漏洞以及CVE-2020-17518 Apache flink文件上传漏洞,文件上传漏洞潜在的危害阐述文件上传的安全问题。
PHP临时文件的安全性分析
10-25
3. **上传文件的临时存储**:用户上传的文件首先会被保存在服务器的临时目录,其文件名可通过PHP的全局变量`$_FILES['userfile']['tmp_name']`获取。 4. **session文件**:HTTP请求,session信息通常会被存储在...
网络安全筑基篇——文件上传
最新发布
weixin_55762309的博客
06-18 1713
文件上传漏洞是指在Web应用程序,攻击者可以利用漏洞绕过应用程序的文件上传验证机制,将恶意文件上传到服务器上的漏洞。文件上传漏洞通常是由于服务器端没有正确实施文件上传的安全措施造成的。常见的原因包括缺乏文件类型检查、缺乏文件大小限制、不正确的文件扩展名验证、不正确的目录权限设置等。攻击者可以通过绕过这些不足之处来上传恶意文件。
网络安全之文件上传漏洞
qq_52074678的博客
05-07 6410
一.文件上传漏洞原理🐱‍🏍🐱‍🏍🐱‍🏍 1.文件上传功能 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护。 2.一句话木马 二..
PHP系列」PHP文件处理及文件上传详解
日常笔记/总结/系列知识梳理
04-19 2011
表单设置表单必须使用属性,以便能够正确地发送文件数据。表单的文件上传字段使用,其name属性是上传后 PHP 脚本用于访问文件的键。临时文件当用户上传文件时,PHP 会将文件存储在服务器上的临时目录PHP 提供了$_FILES超全局数组,用于访问上传的文件信息,包括临时文件名。文件保存开发者需要指定一个目标路径,将临时文件从临时目录移动到该路径下,以完成上传过程。使用函数将临时文件移动到目标位置。安全性验证上传的文件类型,防止用户上传不允许的文件类型。
深入浅出php下的文件上传-确保文件上传安全
PHP/Python 爱生活爱编程
04-19 3846
文件作为一种特殊的表单数据,通过http post请求方式提交至服务器的时候,php会生成一个$_FILES全局数组,相关的文件信息会存放在这个全局数组。我将在这篇文章通过一些示例代码来阐述php下的文件上传,并且深入看下关于文件上传内部的实现机制,最后简单说下如何加强这方面的安全性! 文件上传 为了让客户端的用户能够上传文件,我们必须在用户界面提供一个表单用于提交上传文件的请求
文件上传漏洞
金色%夕阳的博客
04-29 2293
文件上传漏洞 1. 文件上传功能 文件上传功能是大部分WEB应用的必备功能,站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似普通的文件上传功能如果缺法安全防护措施,就存在巨大的安全风险。 2. 文件上传漏洞 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。通常是因web应用程序没有对上传的文件进行安全判断或者判断条件不够严谨,
Web安全之文件上传
qq_42751192的博客
06-13 2496
文件上传漏洞是 Web 安全经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell 等到服务器执行,并最终获得网站控制权限的高危漏洞。大部分的网站和应用系统都有上传功能,而程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。
PHP编码安全之六: 文件上传安全
aben_sky的专栏
10-04 2124
本文内容参考自《PHP安全之道》。 文件上传漏洞的危害 在PHP项目, 提供上传功能并在服务器端未对上传的文件格式进行合理的校验是存在巨大风险的。如果恶意攻击者...
Web木马与文件上传漏洞
weixin_62707591的博客
06-20 2789
目录 一、认识Web木马 1.1 木马概念 1.2 web木马危害 1.2.1 攻击者留后门 1.2.2 文件、数据库操作 1.2.3 修改web页面 1.3 Web 木马特点 1.3.1Web木马可大可小 1.3.2 无法有效隐藏 1.3.3 具有明显特征值 1.3.4 必须为可执行的网页格式: 1.4 Web木马分类 1.4.1 一句话木马 1.4.2 大马小马 二、初识文件上传漏洞 2.1 文件上传漏洞的概念 2.2 文件上传漏洞的危害 2.2.1 非授权用户的越
PHP文件上传的安全性考虑
Liubo的博客
05-08 1503
1:不安全的文件拓展民一律禁止,防止被上传恶意代码(检测mine-type) 2:接收文件是的临时文件名随机化,防止XSS共计 3:检测文件大小,防止Dos共计 4:上传文件目录权限控制...
一个php文件上传处理类库
04-28
1. **表单设置**:为了上传文件,HTML表单必须包含`enctype="multipart/form-data"`和`method="POST"`属性。例如: ```html <form action="upload.php" method="POST" enctype="multipart/form-data"> ``` ...
解读PHP上传文件的处理问题
12-19
本文将深入解析PHP上传文件的处理问题。 首先,要实现文件上传,我们需要创建一个HTML表单。表单必须包含`enctype="multipart/form-data"`属性,这告诉浏览器以多部分/二进制格式发送数据,因为文件通常包含非...
php上传文件问题汇总
12-19
PHP上传文件问题详解】 在PHP上传文件是一项常见的任务,涉及到用户通过表单提交文件到服务器。本文将深入探讨这一主题,包括基础的文件上传实现、PHP的超级全局变量`$_FILES`以及如何处理文件上传过程的...
去除重复数据,对多维数组排序 之 php
10-30 1841
这几天一直在做一个需求,要求找出数据库相连的电话号码,相连的号码要求可以是前4位或前3位,可由参数控制的。如下所示: 要求找出4位4连号,输入特征号码为:1256 ; 则应该找出以下号码:+++++++ 代表手机号码的任意前7位 +++++++1253,+++++++1254,+++++++1255,+++++++1256,+++++++1257,+++++++1258,+++++++1
PHP 给图片加水印效果
05-09 1160
/******************************************************************************参数说明:$max_file_size  : 上传文件大小限制, 单位BYTE$destination_folder : 上传文件路径$watermark   : 是否附加水印(1为加水印,其他为不加水印);使用说明:1. 将PHP.
PHP 调用 Oracle 存储过程 之 查询
04-16 838
在网上找了很久都没找到结果,今天看帮助,结合JAVA程序的一个实例,写出了这个PHP调用Oracle存储过程的例子,也许有人会说PHP调用存储过程是很简单的,但在这里我还是想把这点小成就拿来共享一下。首先,在Oracle创建一个表 tbname,然后创建一个包(在这里因为要得到存储过程查询的结果,需要用的游标cursor,但在创建存储过程的参数又不能直接使用cursor变量,所以我
PHP 调用Oracle 存储过程
06-04 722
 /*common_exec_storeproc Description: Execute a store procedure.  Input parameter:  $conn   connection string of oracle. $proc_name  Name of the store procedure you want exec. $in_count  Count of inpu
PHP文件上传教程:表单数据与文件上传
最后,为了确保文件上传的安全性,开发者应该实施严格的验证和过滤策略,防止上传非法或有害的文件。这可能包括检查文件扩展名、限制文件大小、验证MIME类型等。此外,文件上传目录应设置为不可执行,以防止上传的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值