php如何确保上传图片的安全

最新推荐文章于 2023-04-05 14:23:58 发布
VIP文章 最新推荐文章于 2023-04-05 14:23:58 发布
阅读量559 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penge_/article/details/107913037
版权

1、上传的时候不依靠Content-Type来做文档类型验证,可以参考我在这里的回答如何判断浏览器上传文件的真实类型?

如果是图片可以通过 getimagesize() 获取图片的 mime,这样便不依赖

普通文件可以通过:

1. finfo 扩展

2. mime_content_type()

3. 调用linux命令 exec("file -bi ".escapeshellarg($this->file_src_pathname))来检测

选择合适的一种检测文档类型已经够用了。

图片上传的安全性主要在下载展示的时候,如果它是一段脚本<script>alert(1)</script>伪造成image/jpg,浏览器会将其解释为html而不是图片,从而执行非法脚本。

以上检测手段可以避免这种情况

2、上传的图片文件放到web 目录外的地方,限定好权限,图片展示的时候,可以使用另一个域名。

3、强制服务器给静态文件发送正确的文件头,避免图片中的代码被执行

参考http://nullcandy.com/php-image-upload-security-how-not-to-do-it/

Apache的ForceType指令:

ForceType application/octet-stream

<FilesMatch "(?i)

最低0.47元/天 解锁文章
Penge_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php上传图片怎么可以防止文件伪装
weixin_43748320的博客
06-18 453
php本身是不具备防止文件伪装这一功能的,其主要的还是需要借助扩展来实现: 首先,将配置文件php.ini文件中的fileinfo扩展打开 然后借助这个扩展来判断: 接下来测试一波儿,先将一个txt文档伪装成jpg文件,然后上传给表单,看一下结果 完美的判断了出来 ...
PHP安全上传图片的方法
12-18
本文实例讲述了PHP安全上传图片的方法。分享给大家供大家参考。具体分析如下: 这段代码用于上传图片,可以根据图片类型检测图片是否安全,不是简单的检测扩展名 <?php // upload.php echo <<<_END <html><head><title>PHP Form Upload</title></head><body> <form method='post' action='upload2.php' enctype='multipart/form-data'> Select a JPG, GIF, PNG or TIF File: <input type='file' name=
PHP检测本地图片是否有木马
04-20
也可以用linux服务器上的木马扫描软件,比如 Clamav 支持命令行执行的,上传之后就扫一下,最可靠, $last_line = system('php /var/bin/clamdscan upload.jpg'); 根据扫描结果就可以判断了 $rs = checkMuma("sucaihuo.png"); $tips = array( "0" => "文件没问题", "5" => "文件有毒", "-1" => "文件没有上传" );
PHP判断文章是否有图片,利用PHP判断文件是否为图片的方法总结
weixin_39858275的博客
03-09 145
前言在网页设计中,如果需要图片,我们通常拿到的是一个图片的文件名。仅仅通过文件名是无法判断该文件是否是一个图片文件的。或许有的人以为通过后缀名就可以判断,别忘了文件的后缀名是可以随便改动的。更何况,在 linux 系统下是不以后缀来区分文件格式的。如果天真的以为通过后缀名就能区分图片,那可能出现错误时,你连错误在哪儿都不知道。比如有一个讨厌的人把一个文本文件改成 background.jpg,然后...
php文件伪装成jpg上传,用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?...
weixin_39982017的博客
03-10 338
很简单,检测文件头,如果不是规定的类型就删除。以下为摘抄自网络的代码示例。function file_type($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);$typeCode = intval($s...
PHP之 微信【内容安全】“文字、图片” 校验代码
LDR1109的博客
09-23 1891
附加内容: 1、微信文档 https://developers.weixin.qq.com/miniprogram/dev/api-backend/open-api/sec-check/security.imgSecCheck.html 2、PHP5.4,json_encode函数,新增了一个参数选项,JSON_UNESCAPED_UNICODE,中文不编码,内容原样输出 第一部分:【违规文...
php 防篡改,PHP判断图片是否为标准图片(防止篡改图片下传)
weixin_39639174的博客
04-09 164
PHP判断图片是否为标准图片(防止篡改图片上传)在项目安检时发现,某系项目中图片上传只是对后缀名进行了检查,导致含有某些代码的‘图片’也能上传到服务器,有重大隐患。写了一个方法,检验图片的正确性。(此方法无法完全验证,将图片源码中加了代码无法判断,不过将图片处理比如加水印以后,含有代码图片在当作php执行时会失效)?/* *判断上传图片是否为标准图片 *$file $FILES['']获取的值...
PHP CKEditor 上传图片实现代码
12-18
我花了一个下午的时间,自己用PHP脚本写了一个处理上传文件的脚本代码,没有做更多的安全处理,希望对大家有用。 首先,在你的config.js文件里添加如下代码: 复制代码 代码如下: CKEDITOR.editorConfig = function...
php简单上传图片含查询
06-15
php简单实现后台上传图片,后台安全认证,本实例以存储证件为模拟数据,实现上传,查询功能,数据库请自行根据字段建立。
PHP 图片文件上传实现代码
12-18
所以一定要控制上传的目录与文件类型,一般只可以上传图片。创建一个文件上传表单 允许用户从表单上传文件是非常有用的。 请看下面这个供上传文件的 HTML 表单: 复制代码 代码如下: <html> <body> <...
web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)
ran的博客
01-30 5918
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。的知识,比如我们平时在进行文件上传时,在我们上传文件后,网站会对图片进行二次处理(格式、尺寸、保存、删除要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。
PHP文件上传漏洞原理以及防御姿势
2301_77152761的博客
04-05 1072
0x00 漏洞描述​ 在实际开发过程中文件上传的功能时十分常见的,比如博客系统用户需要文件上传功能来上传自己的头像,写博客时需要上传图片来丰富自己的文章,购物系统在识图搜索时也需要上传图片等,文件上传功能固然重要,但是如果在实现相应功能时没有注意安全保护措施,造成的损失可能十分巨大,为了学习和研究文件上传功能的安全实现方法,我将在下文分析一些常见的文件上传安全措施和一些绕过方法。​ 我按照最常见的上传功能–上传图片来分析这个漏洞。
文件上传漏洞原理、防御、绕过
qq_43455259的博客
05-31 3556
文件上传漏洞原理 文件上传漏洞防御 文件上传漏洞防护绕过
如何保证上传文件的安全
tenfyguo的技术专栏
12-07 6407
一,不能仅仅依赖客户端js进行判断和校验,需要在服务器端进行校验; 二,通过白名单的方式控制允许上传文件的类型,注意不要用黑名单,很容易忽略或者遗漏; 三,校验上传文件的大小和上传的路径; 四,禁止上传.htacess文件,校验上传文件的内容,有时不能仅仅只判断magic num;         (上传.htacess文件在部分配置有问题的php中会覆盖之前的权限控制文件.htacess
php图片上传检测是否为真实图片格式
叶落无痕的博客
07-01 3321
PHP 图片上传,如果不做任何判断的话,随便一个文件如 rar,zip,php,java等文件改个文件名,改个后缀就能以图片形式上传的服务器,往往会造成极大的危害! 第一种方法:如果是只是单纯判断是否是图片格式的话,我使用  getimagesize 方法function checkIsImage($filename){    $a
微信小程序PHP图片多图,单图实时上传。外加微信图片安全检测
weixin_44936767的博客
05-25 448
思路: wx.chooseImage拉起上传图片获取图片的本地路径 wx.uploadFile把本地路径等参数提交到指定的上传文件 <view class="shangchuan _tu"> <block wx:for="{{formDatas.list[0].tempFilePaths}}" wx:for-item="item" wx:for-index="idx" wx:key="key"> <view class="li"> <image sr
PHP漏洞全解(PHP安全性/命令注入/脚本植入/xss跨站/SQL注入/伪跨站请求/Session劫持/HTTP响应拆分/文件上传漏洞)...
weixin_34323858的博客
12-05 832
目录PHP漏洞全解(一)-PHP网站的安全性问题PHP漏洞全解(二)-命令注入攻击PHP漏洞全解(三)-客户端脚本植入PHP漏洞全解(四)-xss跨站脚本攻击PHP漏洞全解(五)-SQL注入攻击PHP漏洞全解(六)-跨网站请求伪造PHP漏洞全解(七)-Session劫持PHP漏洞全解(八)-HTTP响应拆分PHP漏洞全解(九)-文件上传漏洞 PHP漏洞全解(一)-PHP网站的安全性问题 针对P...
16-文件上传漏洞
qq_56414082的博客
03-29 514
网站对上传点没有经过严格限制上传的文件后缀,及文件类型,导致攻击者可以上传任意脚本文件,脚本文件经过解析器解析,就可以在服务器上执行脚本文件内容。
用原生PHP 实现最安全的文件上传
最新发布
05-29
1. 文件类型过滤:只允许上传指定类型的文件,比如图片、文档、音频等,可以使用 MIME 类型或文件扩展名进行判断。 2. 文件大小限制:限制上传文件的大小,避免占用过多的服务器资源和网络带宽。 3. 防止文件覆盖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值