PHP上传文件时,识别伪装。

于 2023-10-18 18:10:44 发布
阅读量182 收藏
点赞数 1
分类专栏: 网络安全 文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lilcur/article/details/133911698
版权

PHP上传文件时,识别伪装。

我们在编写php文件上传的时候,可能会忽略了对上传文件进行验证,下面我们来进行关于:文件上传时验证上传的文件是否合法的问题。

一,简单的测试,将txt后缀的文件改成jpg;并进行上传。

二,修改完后进行简单的测试:

(1)通过$_FILES [‘user’] [‘type’] ;获取文件后缀名;
<!DOCTYPE html>
<html>
    <meta charset="utf-8">
<body>
    <h2>文件上传伪装测试</h2>
    <form method="post" action="" enctype="multipart/form-data">
        选择文件:
        <input type="file" name="userfile" />
        <input type="submit" value="提交" />
    </form>
</body>

<?php
$data=$_FILES['userfile'];
var_dump($data);
?>
</html>

我们提交完之后可以发现,并没有检测出来:

在这里插入图片描述

返回:

array(5) { ["name"]=> string(8) "test.png" 
		  ["type"]=> string(9) "image/png" 
		  ["tmp_name"]=> string(22) "C:\Windows\phpBE13.tmp" 
		  ["error"]=> int(0) 
		  ["size"]=> int(10) }
(2)用pathinfo()函数来获取文件路径:
<!DOCTYPE html>
<html> 
    <meta charset="utf-8">
<body>
    <h2>文件上传伪装测试</h2>
    <form method="post" action="" enctype="multipart/form-data">
        选择文件:
        <input type="file" name="userfile" />
        <input type="submit" name="button" value="提交" />
    </form>
</body>

<?php
$data = $_FILES['userfile'];
var_dump(pathinfo($data['name']));
?>
</html>

返回:

array(4) { ["dirname"]=> string(1) "." ["basename"]=> string(8) "test.png" ["extension"]=> string(3) "png" ["filename"]=> string(4) "test" }

仍然认为我们的文件是png文件,没有检测出来。

(3)用php的拓展,fileinfo来判断。
<!DOCTYPE html>
<html> 
    <meta charset="utf-8">
<body>
    <h2>文件上传伪装测试</h2>
    <form method="post" action="" enctype="multipart/form-data">
        选择文件:
        <input type="file" name="userfile" />
        <input type="submit" value="提交" />
    </form>
</body>

<?php
$data = $_FILES['userfile'];
$filename = $data['tmp_name'];
$fileinfo = finfo_open(FILEINFO_MIME_TYPE);
$mimetype = finfo_file($fileinfo, $filename);

finfo_close($fileinfo);
var_dump($mimetype);
?>
</html>

上传后,返回如下:判断为text文件:

在这里插入图片描述
判断成功,可以识别伪装文件。

三,附上完整的识别文件伪装代码:

<!DOCTYPE html>
<html> 
    <meta charset="utf-8">
<body>
    <h2>文件上传伪装测试</h2>
    <form method="post" action="" enctype="multipart/form-data">
        选择文件:
        <input type="file" name="userfile" />
        <input type="submit" name="button" value="提交" />
    </form>
</body>

<?php
if(!empty($_POST)){
    $fileinfo = finfo_open(FILEINFO_MIME_TYPE);   //创建info资源
    $mimetype = finfo_file($fileinfo, $_FILES['userfile']['tmp_name']);  //与finfo资源和文件做比较
    finfo_close($fileinfo);

    $pass = array('image/png', 'image/jpeg', 'image/gif'); //允许通过类别
    echo in_array($mimetype, $pass)?'合法':'非法';
}
?>
</html>


last: thank u for watching!!!
FranzYu_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php伪装图片,案例分析之PHP文件,如何识别文件伪装
weixin_26882891的博客
03-10 740
本帖最后由 huawei 于 2017-3-5 10:35 编辑文件识别文件伪装PHP学院教学总监孙静在web开发过程中文件是不可绕过的话题,上文件候需要验证上文件是否合法。通常情况下使用文件扩展名和文件类型来验证是不能识别文件伪装的,我们需要使用php_fileinfo.dll扩展来识别文件伪装。我们来测试一下,首先准备好文件的表单:[HTML] 纯文本查看 复制...
PHP文件自动分配路径的方法
10-24
主要介绍了PHP文件自动分配路径的方法,可实现对上文件的分类存放功能,具有一定参考借鉴价值,需要的朋友可以参考下
php伪装文件名,【NGINX】隐藏和伪装Nginx和PHP版本号
weixin_39935571的博客
03-24 148
原标题:【NGINX】隐藏和伪装Nginx和PHP版本号 前言:我们在使用nginx的候有候为了安全的情况下,针对一些版本号进行隐藏;还有一种情况是我们针对脚本语言的编译器版本号隐藏。防止攻击者知道当前的版本号,然后拿漏洞攻击隐藏Nginx版本号,Nginx的版本号主要在两个地方会有,一个是HTTP header,有个Server:nginx/1.x.x类似会暴露Web服务器所用软件名称以及版...
php伪装图片,GIF 图片伪装技术
weixin_29847829的博客
03-10 856
GIF89a图形文件是根据图形交换格式(GIF)89a版(1989年7 月发行)进行格式化之后的图形。在GIF89a之前还有87a版(1987年5月发行),但在Web上所见到的大多数图形都是以89a版的格式创建的。89a版的一个最主要的优势就是可以创建动态图像,例如创建一个旋转的图标、用一只手挥动的旗帜或是变大的字母。特别值得注意的是,一个动态GIF是一个 以GIF89a格式存储的文件,在一个这样...
伪装成图片的php脚本,[翻译]如何将 PHP Phar 包转化成图像以绕过文件类型检测
weixin_35486751的博客
03-17 554
2018年的美国黑帽大会表明可以从PHAR包中获取RCE,并且可通过调整其二进制内容,将其伪装成完整的有效图像,从而绕过安全检查。接下来就让我们一起看看这是如何做到的吧。背景在2018年的美国黑帽大会期间,Sam Thomas召开了一个关于利用PHP中的Far://流包装器在服务器上执行代码的会议(幻灯片在此)。在执行PHAR包PHP会将其内容反序列化,允许攻击者启动PHP对象包含链。最有趣的...
php伪装文件名_PHP识别文件伪装文件
weixin_31698627的博客
03-08 444
问题:文件候需要验证上文件是否合法,文件伪装如何识别?一个简单测试:把txt文件后缀直接改成jpg;上 test Send this file: 1.通过$_FILES['userfile']['type'];获取文...
阿里云语音 录音文件识别 PHP SDK (1.0版SDK)
09-05
阿里云语音 录音文件识别 PHP SDK (1.0版SDK) 在阿里云上的语音识别竟然没有PHP的SDK,而通过他们官方的所谓PHP的openSDK根本也没办法使用,于是,我基于他们的JAVA SDK改写成了PHP SDK,绝对可用!! 里面有些类...
php文件、下载和删除示例
01-21
php文件、下载和删除示例大体思路如下,具体内容如下 一.文件 1.把上文件的区域做出来 div1 2.把显示文件的区域做出来 div2 3.提交表单,上文件 4.服务器接收文件数据 用$_FILE[name]接收 5...
一个php文件类库
04-28
这个PHP文件的上类主要是用来上文件的,包括图片,视频,word文档的,其实这里建议用来处理图片,推荐的主要原因是这个类很规范,基本上所有的上参数都可以在类里面进行定义,而不需要在 php.ini 里面进行修改 使用...
php文件你必须知道的几点
12-19
本篇文章主要说明的是与...默认为空,此选项在手动配置PHP运行环境,也容易遗忘,如果不配置这个选项,文件功能就无法实现,这个选项设置的是文件存放文件的临目录,你必须给这个选项赋值,比如upload_t
php 缩略图生成类 V1.2
07-16
缩略图生成类,支持imagemagick及gd库两种处理 功能: 1.按比例缩小/放大 2.填充背景色 3.按区域裁剪 4.添加水印,包括水印的位置,透明度等 * Func: * public set_config: 设置参数 * public create_thumb: 生成缩略图 * private fit: 缩略图片 * private crop: 裁剪图片 * private gd_fit: GD库缩略图片 * private gd_crop: GD库裁剪图片 * private get_size: 获取要转换的size * private get_crop_offset: 获取裁图的偏移量 * private add_watermark: 添加水印 * private check_handler: 判断处理程序是否已安装 * private create_dirs: 创建目录 * private exists: 判断参数是否存在 * private to_log: 记录log * private hex2rgb: hex颜色转rgb颜色 * private get_file_ext: 获取图片类型 ver: 1.2 增加width,height错误参数处理 增加当图片colorspace不为RGB作转RGB处理 修正使用crop保存为gif出现透明无效区域问题,使用+repage参数,删除透明无效参数即可
JPG图片伪装器,任意文件伪装为图片
05-27
快速将想隐藏的任意文件(需要先压缩为RAR格式)伪装成JPG图片文件
php关于上图片的验证
06-30
对于使用php图片,进行图片验证,本demo有三种验证方法后缀名验证、头验证、二进制编码验证
php文件伪装成jsp,Content-Type伪装 - 将jsp伪装成css
weixin_42657024的博客
03-18 267
一、前期理论准备1)目的:在jsp中动态生成css语句,然后输出给浏览器解析、渲染。2)浏览器解析文件的依据:页面加载后,浏览器会发起各个请求去下载各种资源。比如下载css文件,然后根据css的解析规则去解析文档。而如果下载的文件Content-Type不符合,则浏览器会自动屏蔽掉。二、让jsp变身css的前提知道浏览器的解析规则后,jsp需要做的就是把自己的Content-Type伪装成"tex...
Web安全系列:文件漏洞从入门到精通
weixin_68076304的博客
02-27 500
文件漏洞简介文件漏洞(File Upload Vulnerability)是一种常见的 Web 应用程序漏洞,通常存在于需要用户上文件的应用程序中,如论坛、电子商务网站、博客、社交网站等。攻击者可以通过该漏洞上恶意文件到服务器,从而执行各种攻击操作,如执行命令、窃取敏感数据、植入后门等。文件漏洞通常发生的原因多是服务器未正确验证上文件类型、大小、路径等参数等,攻击者可以利用这些漏洞绕过服务器的限制,上恶意文件或脚本到服务器。
php文件伪装成jpg上,php 文件代码(限制jpg文件)
weixin_29682503的博客
03-10 477
/* 图片上类 仅限JPG格式图片 */class uploadFile{var $inputName; //input名称var $fileName; //文件命名var $fileProperty; //文件属性var $fileSize=2097152; //文件大小限制,2Mvar $filePath="upload/"; //文件存储路径function uploadFile($in...
php文件伪装成jpg上,用户上a.jpg文件文件内容实际为php代码,会不会有安全问题?如果有,如何防止?...
weixin_39982017的博客
03-10 347
很简单,检测文件头,如果不是规定的类型就删除。以下为摘抄自网络的代码示例。function file_type($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);$typeCode = intval($s...
php代码隐写到图片,BlackRose: 1-VulnHub
weixin_39685697的博客
03-19 370
0x01 下载下载地址:https://www.vulnhub.com/entry/blackrose-1,509/由于国外访问较慢,这里下载后的文件已经到了网盘网盘链接:https://pan.baidu.com/s/1FGc7RPXnerkcydqN9i86Gw提取码:5whzPS:下载vulnhub里面的镜像可以使用FDM这款工具,挂到机器上慢慢下。0x02 安装这里推荐直接使用virtu...
把任意文件隐藏在一张图片里、rar伪装成jpg
mmllkkjj的专栏
01-05 4102
http://hi.baidu.com/cellwall/blog/item/59ebc28011d001c69023d9eb.html把任意文件隐藏在一张图片里、rar伪装成jpg2010年11月29日 星期一 23:19伪装图片:教你如何把任意文件隐藏在一张图片里?该技巧适合 Windows 2000 / XP / Vista 方法一:最好有基本的命令行知识。不过也没关系,按照下面的步骤做就行了。准备:1.一张图片jpg 2.一个做试验的txt文件 3.WinRAR步骤:   1:准备一张图片,比如 w
php 识别图像文件的类型
最新发布
03-29
可以使用 PHP 的 getimagesize() 函数来获取图像文件的类型信息。该函数返回一个数组,包含图像文件的类型、宽度、高度和其他相关信息。例如: ```php $image_info = getimagesize('example.jpg'); $image_type = $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值