文件上传是我们常常需要开发的功能,试试用最安全的方式,判断用户上传的图片为正常的图片(JPG\GIF\PNG)。
解题思路:
1、检查提交的文件的扩展名是否是图片(这一步很容易伪造的,所以不可靠)
2、依据文件的头信息检查文件是否真的是图片 (这一步基本就是图片了,但是依然可能包含木马的脚本)
3、用正则检查文件里面是否包含木马的脚本
以下是“坚持到底”的PHP版本代码
1
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 |
<?php
//允许的图片类型 $imageType = array ( 'jpg' , 'gif' , 'png' ) ; //上传后存放的路径 $uploadfile = './data/' . basename ( $_FILES [ 'userfile' ] [ 'name' ] ) ; //获取文件的扩展名 $finfo = new SplFileInfo ( $_FILES [ 'userfile' ] [ 'name' ] ) ; $extName = $finfo -> getExtension ( ) ; //第一道关卡,简单过滤非法文件。 if ( ! in_array ( $extName , $imageType ) ) { exit ( '只能上传gif、png和jpg的图片' ) ; } //依据文件头信息检查图片的真实类型 //1 IMAGETYPE_GIF //2 IMAGETYPE_JPEG //3 IMAGETYPE_PNG $realType = exif_imagetype ( $_FILES [ 'userfile' ] [ 'tmp_name' ] ) ; if ( 1 == $realType || 2 == $realType || 3 == $realType ) { //开始检查是否存在木马代码 $safe =is_safe ( $_FILES [ 'userfile' ] [ 'tmp_name' ] ) ; if ( ! $safe ) { exit ( '图片包含木马,禁止上传!' ) ; } if ( move_uploaded_file ( $_FILES [ 'userfile' ] [ 'tmp_name' ] , $uploadfile ) ) { echo "文件上传成功.\n" ; } else { echo "上传失败!\n" ; } } else { exit ( '只能上传gif、png和jpg的图片' ) ; } function is_safe ( $fileurl ) { $handle = fopen ( $fileurl , 'rb' ) ; $fileSize = filesize ( $fileurl ) ; fseek ( $handle , 0 ) ; if ( $fileSize > 512 ) { // 取头和尾 $hexCode = bin2hex ( fread ( $handle , 512 ) ) ; fseek ( $handle , $fileSize - 512 ) ; $hexCode .= bin2hex ( fread ( $handle , 512 ) ) ; } else { // 取全部 $hexCode = bin2hex ( fread ( $handle , $fileSize ) ) ; } fclose ( $handle ) ; /* 匹配16进制中的 <% ( ) %> */ /* 匹配16进制中的 <? ( ) ?> */ /* 匹配16进制中的 <script | /script> 大小写亦可*/ //匹配表示有木马 return ! preg_match ( "/(3c25.*?28.*?29.*?253e)|(3c3f.*?28.*?29.*?3f3e)|(3C534352495054)|(2F5343524950543E)|(3C736372697074)|(2F7363726970743E)/is" , $hexCode ) ; } |
转载自: http://blog.sijiaomao.com/?p=187