.php文件能不能识别h5代码,【php】用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?...

博客讨论了用户上传文件可能导致的安全问题,特别是当文件内容实际为PHP代码时。提出了解决方案,包括存储为安全扩展名、使用PHP中间层传递内容、避免执行静态文件目录中的代码、检查文件头以验证文件类型,并提到了Nginx的配置注意事项。还分享了一段用于检测文件类型的PHP代码示例。
摘要由CSDN通过智能技术生成

用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?

回答

设置 mimetype

有风险,判断文件头是不完全的。你可以参看

你需要在服务端禁止执行这些代码。简单的说,就是不管他的扩展名是什么,反正这个目录是静态的,不要丢改cgi之类的东西。

如果你是虚拟主机环境,你可能面临对主机环境无法深度配置的问题。

如果你想求个放心,我建议把这些用户上传的静态文件,托管到又拍云、七牛云等外部的CDN服务器上去。

放到外边去就不可能(也不用关心)有php会被意外执行的安全问题了。对于虚拟主机跑得起来的小站,花费也不多甚至几近免费。

10-23补充:想到一个正面突破的好办法。

用户上传之后,存储成任意安全的扩展名(例:raw、bin等)。在需要调用的时候,通过一个php脚本作为中间层传递文件内容(读取请求的文件名,找到文件,把图片文件类型对应的MIME写入HTTP头,图片文件实际的内容写入HTTP正文)。

例如:http://example.com/attach.php?id=13776。

也可以用一种更加优雅的语法:http://example.com/attach.php/13776.jpg

或http://example.com/attach.php/13776;

甚至动用rewrite实现类似http://example.com/attach/13776的URL。

这样会收到若干好处:

绝对安全。所有的恶意代码都绝对不经执行,通过HTTP原样返回浏览器,给攻击者个自讨没趣。

URL显而易见,符合REST原则,外人无法从URL猜测程序的目录结构。

经过PHP,就方便实现鉴权、防盗链等若干实用功能。

保持网址恒定性,无论是程序目录结构修改,还是静态文件将来托管到CDN上,网址都保持不变。

据我所知 原来有个漏洞,如果目录名是 a.php 然后目录里的 a.jpg 会被当作 PHP 执行。

直接上图片处理,gd或者imagick等,重新存一下

用图形库验证一下。不是图片不让上传。

当 nginx 搭配 php-cgi 时候,在路径解析问题上可能要防下。当年争议比较大的就是 cgi.fix_pathinfo 的问题。另外当nginx 处于反代模式时。mimetype 设置的对,应该没什么问题。

如果是Nginx的话可以考虑区分jpg和php的文件夹,即使上传了jpg但是路径不对也不会被执行0.0

chmod 0444 a.jpg

禁止文件执行

gd库获取一下图片的长宽大小,为0阻止。

很简单,检测文件头,如果不是规定的类型就删除。

以下为摘抄自网络的代码示例。

function file_type($filename)

{

$file = fopen($filename, "rb");

$bin = fread($file, 2); //只读2字节

fclose($file);

$strInfo = @unpack("C2chars", $bin);

$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);

$fileType = '';

switch ($typeCode)

{

case 7790:

$fileType = 'exe';

break;

case 7784:

$fileType = 'midi';

break;

case 8297:

$fileType = 'rar';

break;

case 8075:

$fileType = 'zip';

break;

case 255216:

$fileType = 'jpg';

break;

case 7173:

$fileType = 'gif';

break;

case 6677:

$fileType = 'bmp';

break;

case 13780:

$fileType = 'png';

break;

default:

$fileType = 'unknown: '.$typeCode;

}

//Fix

if ($strInfo['chars1']=='-1' AND $strInfo['chars2']=='-40' ) return 'jpg';

if ($strInfo['chars1']=='-119' AND $strInfo['chars2']=='80' ) return 'png';

return $fileType;

}

echo file_type('start.php'); // 6063 or 6033

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值