php上传图片 解码,PHP编码安全之六: 文件上传安全

最新推荐文章于 2021-03-29 10:12:38 发布
最新推荐文章于 2021-03-29 10:12:38 发布
阅读量156 收藏
点赞数
文章标签: php上传图片 解码
本文探讨了PHP文件上传漏洞的危害,展示了如何通过检查文件类型和扩展名来防止恶意文件上传。文中提出,仅凭MIME类型或扩展名检查并不充分,建议采用白名单机制、使用随机文件名及限制上传目录权限等综合措施确保文件上传的安全性。
摘要由CSDN通过智能技术生成

本文内容参考自《PHP安全之道》。

文件上传漏洞的危害

在PHP项目中, 提供上传功能并在服务器端未对上传的文件格式进行合理的校验是存在巨大风险的。如果恶意攻击者利用上传漏洞上传一些 webshell,则可能完全控制整个网站程序, 执行系统命令(如删除系统文件), 获取数据库连接字符串进行数据库操作等危险操作。

文件上传漏洞

以下是一个不安全的文件上传后端代码 (upload.php):

$upload_dir = 'uploads/';

$upload_file = $upload_dir . basename($_FILES['file']['name']);

if(move_upload_file($_FILES['file']['tmp_name'], $upload_file)){

echo '文件上传成功!';

}else{

echo '错误: 文件上传失败!';

}

前端html:

请选择文件:

这是一个简单的文件上传模块. 其中由用户上传文件, 如果上传成功, 则保存文件的路径为: http://服务器路径/uploads/文件名称。

如果攻击者上传一个如下内容的hacker.php脚本文件到服务器:

system($_GET['shell']);

则攻击者就可以通过该文件进行url请求 http://服务器路径/uploads.php?hacker.php?shell=ls%20-al, 从而可以执行任何shell命令.

检查文件类型防止上传漏洞

上面的演示代码很简单, 没有做任何的上传限制。 如果要限制,通常的做法是限制文件上传类型(MIME)

if($_FILES['file']['tye'] != 'images/gif'){

die('请上传正确的文件类型!');

}

$upload_dir = 'uploads/';

$upload_file = $upload_dir . basename($_FILES['file']['name']);

if(move_upload_file($_FILES['file']['tmp_name'], $upload_file)){

echo '文件上传成功!';

}else{

echo '错误: 文件上传失败!';

}

如果攻击者试图上传 shell.php, 会被系统拒绝. 这里简单的通过文件类型检测阻止了非法文件上传。

但是只是简单的进行文件类型MIME检查也是不够的, 攻击者通过修改POST数据包中的Content-type: text/plain 为 Content-type: image/gif 即可骗过系统。

检查文件扩展名称防止上传漏洞

除了检测MIME类型,常用的方法是基于黑白名单验证所传文件的扩展名称是否符合要求。

以下代码通过黑名单方式对文件类型进行限制:

$ext_black_list = ['.php', '.phtml', '.php3', '.php4'];//黑名单

$upload_dir = 'uploads/';

$file_name = $_FILES['file']['name'];

$upload_file = $upload_dir . basename($file_name);

$ext = substr($file_name, -4);//扩展名

if(in_array($ext, $ext_black_list)){

die('请选择正确的文件类型');

}

if(move_uploaded_file($_FILES['file']['tmp_name'], $upload_file)){

echo '文件上传成功!';

}else{

echo '错误: 文件上传失败!';

}

以下代码通过白名单方式对文件类型进行限制:

$ext_white_list = ['.jpg', '.gif', '.png'];//白名单

$upload_dir = 'uploads/';

$file_name = $_FILES['file']['name'];

$upload_file = $upload_dir . basename($file_name);

$ext = substr($file_name, -4);//扩展名

if(!in_array($ext, $ext_white_list)){

die('请选择正确的文件类型');

}

if(move_uploaded_file($_FILES['file']['tmp_name'], $upload_file)){

echo '文件上传成功!';

}else{

echo '错误: 文件上传失败!';

}

从黑名单和白名单两种不同的验证方法来看,白名单方式要比黑名单更安全, 但是采取白名单还是不够的。

Apache存在一个扩展名解析漏洞(apahce2.4下仍然存在): 如果一个文件有多个扩展名时, 如果最后的扩展名未定义, 就会解析前一个扩展名, 比如 hacker.php.2018 会解析成.php扩展名, 从而该文件被当做脚本执行。如果使用黑名单机制, 很明显无法防御此种攻击,但是白名单机制就可以。

文件上传漏洞的综合防护

我们不能期望只通过一种安全手段就能阻止非法文件上传, 应该同时综合运用文件类型检测、后缀名检测、黑白名单机制、使用随机文件名、上传文件目录禁止执行权限等多种方法同时进行。

/**

* 生成随机字符串

* @param int $len

* @return string

*/

function getRandomString(int $len){

$chars = array_merge(range('a', 'z'), range('A', 'Z'), range(0, 9));

$char_len = count($chars) - 1;

shuffle($chars); //将数组打乱

$rt = '';

for($i=0; $i < $len; $i++){

$rt .= $chars[mt_rand(0, $char_len)];

}

return $rt;

}

$ext_white_list = ['.jpg', '.gif', '.png'];//后缀名白名单

$file_name = $_FILES['file']['name']; //原文件名

$ext = substr($file_name, -4);//扩展名

if(!in_array($ext, $ext_white_list)){

die('请选择正确的文件类型');

}

$mime_white_list = ['image/gif', 'image/png', 'image/jpeg']; //MIME白名单

if(!in_array($_FILES['file']['type'], $mime_white_list)){

die('请选择正确的文件类型');

}

$upload_dir = '/tmp/uploads/';//将上传的文件放到项目目录之外

$upload_file = $upload_dir . getRandomString(20). $ext; // 使用随机文件名

if(move_uploaded_file($_FILES['file']['tmp_name'], $upload_file)){

echo '文件上传成功!';

}else{

echo '错误: 文件上传失败!';

}

除了在代码中阻止上传漏洞外, 还需要在项目部署时对上传目录进行安全设置: 禁止文件的执行权限, 把该目录的所有文件当做静态资源处理。

当用户上传文件到服务器时保存时, 一定要使用随机文件名进行存储, 并保证所存储的扩展名合法。保证文件名的唯一性,也保证了存储的安全性,可以防止上传文件非法扩展的解析。

月夏凉
关注
关于Thinkphp中的图像处理无法处理gif图的问题
Limitless1113的专栏
06-05 1479
tp中有一个BUG无法生成GIF的缩略图: 解决解决办法:修改TP中的GIF类即可: 这个文件中后两个类,GIFEncoder和GIFDecoder的构造函数名改为:__construct即可。【TP用的是旧版本的写法:方法名和类名相同就是构造函数】 GIFEncoder GIFDecoder
php如何确保上传图片安全
Penge_的博客
08-10 630
1、上传的时候不依靠Content-Type来做文档类型验证,可以参考我在这里的回答如何判断浏览器上传文件的真实类型? 如果是图片可以通过 getimagesize() 获取图片的 mime,这样便不依赖 普通文件可以通过: 1. finfo 扩展 2. mime_content_type() 3. 调用linux命令 exec("file -bi ".escapeshellarg($this->file_src_pathname))来检测 选择合适的一种检测文档类型已经够用了。 图片
PHP安全上传图片的方法
10-24
主要介绍了PHP安全上传图片的方法,可检测图片类型实现安全判断图片的功能,非常具有实用价值,需要的朋友可以参考下
php图片上传之文件安全
小c
01-14 1505
一般的文件上传不会对文件安全进行检查,一般之后会验证扩展名 简单的扩展名验证就是,php的$_FILES数组中的type 这个是非常不靠谱,仅仅是验证了文件的后缀名,靠谱一些的就是exif_imagetype、getimagesize来判断,这个对文件类型的来说还是很靠谱的 安全的做法 0、  linux上的杀毒软件 clamav 在测试环境下可以使用 clamscan命令去测试
php 安全上传图片,php 图片上传安全探讨
weixin_36447179的博客
03-29 192
PHP 图片上传安全探讨[问题发现]今天想做一个图片上传的操作类,在网上找了些demo,发现大家对上传的文件,会先对文件类型进行校验,校验的方式基本上就是获取$_FILES["upfile"]["type"] 然后匹配自己限制的mime类型,逻辑上是对的,但是,问题在于我无意中看到一篇文章说$_FILES["upfile"]["type"] 的值来自于浏览器对文件类型的判断。我马上想到了其中的安...
php文件上传类库:upload上传类,支持图片,文件以及base64编码图片.zip
07-11
本篇文章将详细介绍一个名为"Upload"的PHP文件上传类库,该类库特别之处在于它不仅支持普通文件和图片上传,还支持Base64编码图片上传。 1. **Upload类库概述** Upload类库是一个为PHP设计的强大文件上传工具...
PHP安全的URL字符串base64编码解码
10-25
在提供的代码片段中,定义了两个函数`urlsafe_b64encode()`和`urlsafe_b64decode()`,分别用于进行URL安全的Base64编码解码操作。`urlsafe_b64encode()`函数首先将输入的字符串进行标准Base64编码,然后将编码结果...
php文件上传类库:upload上传类,支持图片,文件以及base64编码图片
04-29
- **格式检查**:上传前可对文件类型进行检查,只允许特定类型的文件通过,例如只接受图片或某些特定文档格式。 - **大小限制**:可以设置每个文件的最大大小,避免过大文件导致服务器资源消耗过多。 - **Base64...
PHP 实现base64编码文件上传出现问题详解
10-14
结果显示,编码过程大约增加了文件大小的50%左右的内存消耗,而解码过程虽然在解码完成后释放了内存,但在解码过程中内存峰值达到了13.4M,这远超过了原始文件大小。 这里有几个关键点需要注意: 1. **内存管理**...
php分析gif图片的问题
gtdg5475的专栏
12-04 458
<br />我有个小程序,以前可以分析png图片,但现在用同样的算法来分析gif图片,则不能分析,出问题处的代码如下:<br />color_filter所在的类如下,执行完上面的getBlock()函数后打印$imgs为空,问题可能出在什么地方呢?<br />因为安全因素,不能向客户端显示表单参数, 而是要客户点击提交后, 通过服务端程序处理并生成动态表单, 并以post方式提交到另外一个站点, 并且重定向至该站点.. 请问有实现方法吗?<br />电子商务网站的paypal付款接口, 客户点击check
php常见错误——图片上传格式问题
studyphp123的博客
02-12 1195
今天在学习 ThinkPHP5.1 中 文件上传 的时候出现了一个问题:图片的格式,明明写了支持jpg,png,gif,但是却只能上传 jpg 格式的图片,其他的都无法上传,我的其中一行有问题代码如下: // 上传文件 $info = $file-&amp;gt;validate(['size'=&amp;gt;3145728, 'ext'=&amp;gt;'jpg, png, gif'])-&amp;gt;move(&quot;./u...
解决GIF缩略图生成失败(ThinkPHP 3.2 在 PHP5.3.3以上版本)
qq_24892029的博客
10-11 867
\ThinkPHP\Library\Think\Image\Driver\Gd.class.php  LINE: 70
使用php动态生成gif时遇到的问题和解决办法
webdev2008的专栏
01-24 258
php没有规定只输出html文件,它可以生成动态gif文件。我在使用php动态生成gif图像时遇到了一些问题,现已解决,我用的是php4.05(for win32)+apache3.1.2_win32。     问题一:动态生成gif的程序根本转不起来          我写了一个关于用php生成gif的例子,运行,发现页面就是刷不出来,就象是死了一样,浏览器也没有任何错误提示。     解...
文件上传
kenvinp的专栏
06-13 1001
CODE// In PHP versions earlier than 4.1.0, $HTTP_POST_FILES should be used instead// of $_FILES.$uploaddir = ./pic/;$MAX_SIZE = 5000000;$FILE_MIMES = array(image/jpeg,image/jpg,image/gif,im
php 上传安全,PHP 安全图片上传实现方法
weixin_35539198的博客
03-10 180
搜索热词对PHP安全图片上传代码感兴趣的小伙伴,下面一起跟随编程之家 jb51.cc的小编两巴掌来看看吧!这段代码用于上传图片,可以根据图片类型检测图片是否安全,不是简单的检测扩展名/*** PHP安全图片上传代码** @param* @arrange 512-笔记网: jb51.cc**/echo <<PHP Form UploadSelect a JPG,GIF,PNG or ...
深入浅出php下的文件上传(转摘-360weboy)
weixin_34367257的博客
11-24 180
深入浅出php下的文件上传 作者:360weboy 新浪微博:http://weibo.com/360weboy QQ群:197642724 文件作为一种特殊的表单数据,通过http post请求方式提交至服务器的时候,php会生成一个$_FILES全局数组,相关的文件信息会存放在这个全局数组中。我将在这篇文章中通过一些示例代码来阐述php下的文件上传,并且深入看下关于文件上传内部...
php文件上传与下载字符编码问题
migongm的博客
12-06 942
一直想吧php文件上传下载字符编码问题总结一下,但是一拖再拖久而久之不晓得拖了多久,今天终于下定决心开始动手。 首先,php文件一般用的utf-8编码,而windows下的字符编码一般都为gbk,所以在php在读取本地的中文文件时就会出现乱码问题。如下图所示 解决办法: 在文件输出的时候使用iconv函数进行转码代码如下: $dir_str_path = 'D:/tnwamp/Ap
PHP编码解码全解析:ASCII、URL、Base64与更多
PHP编程中,编码解码是非常基础且重要的功能,它涉及到数据在网络传输和存储过程中的标准化处理,确保数据的一致性和可读性。本文深入探讨了PHP中的几种关键编码解码技术: 1. **ASCII编解码**: ASCII是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值