php防止文件删除,php 删除文件或者目录, 安全性问题分析.

最新推荐文章于 2023-10-26 15:34:45 发布
最新推荐文章于 2023-10-26 15:34:45 发布
阅读量297 收藏
点赞数
文章标签: php防止文件删除

$datadir = './cache/attesavefile/';

$dbfile = '/a/b/c/d/242423.jpg'; // 这个路径通常在数据库,

unlink($datadir.$dbfile); // 删除之.

# 假如dbfile变量转化如下, 那问题就严重了.

$dbfile = '../../..//d/242423.jpg'; // 往上走了几层,

$dbfile = '/a/b/c/d/./../../index/index.php?242423.jpg'; // 被改变的文件名, 文件名成路径.

// 只要细心, 用户就可以伪装出各类路径来删除你的核心文件. 或者你会说, 数据库不可能保存进这种路径. 的确很少碰到, discuz的文件名是md5过滤的, 路径都是后期固定的, 但许多个人blog, 如wordpress, 附件路径就是保存在数据库. 这时你就应该担心这种bug的发生. 既然删除文件会有这问题, 那可想而知, rmdir也会有此问题.

$dirpath = './images/';

rmdir($datadir.$dirpath);

# 假如$dirpath变量转化如下,

$dirpath = './../../include/'; //上两层的include目录删除.

追究其发生的原因, 重点在于..号在路径中为上一层的意思, 这就让用户可以虚拟出任何的路径出来, 后果非常严重.

我们能够把 '.' 号过滤掉吧? 事实上是不可以的, dir.images 是个合格的目录命名. 你或者会说, 没有人会把这种非法的路径保存进数据库. 不会发生这种bug.

可或许我们应该想想, 假如它发生了, 你将如何来解决之?

// 原本是删除 ./a.images/目录结果.

$dirpath = './../../a.images/';

rmdir($datadir.$dirpath);

或许你能够帮我解决这个问题, 如何判断呢?

weixin_39705850
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP临时文件安全性分析
10-25
PHP临时文件安全性分析临时文件PHP编程中扮演着重要的角色,它们是程序运行过程中的暂存区域,用于存储临时数据。然而,临时文件安全性不容忽视,一旦管理不当,可能会对系统造成严重威胁。本文将深入...
在服务端进行目录建立、删除文件上传、删除的过程的php代码
10-30
然而,实际部署时,必须考虑安全性和错误处理,例如验证用户输入、检查权限、处理异常情况以及防止潜在的安全漏洞。在生产环境中,应使用更高级的库,如Symfony的Filesystem组件或Laravel的文件系统,它们提供了更...
php文件删除,PHP文件锁类防止并发
weixin_39969143的博客
04-13 210
对于商品抢购等并发场景下,可能会出现超卖的现象,这时就需要解决并发所带来的这些问题了。在PHP语言中并没有原生的提供并发的解决方案,因此就需要借助其他方式来实现并发控制。方案一:使用文件锁排它锁方案二:使用MySQL数据库提供的悲观锁方案三:使用队列方案四:使用Redis/Memcached下面做种介绍下方案一,文件锁:flock函数用于获取文件的锁,这个锁同时只能被一个线程获取到,其它没有获取到...
php文件防删改,PHP实现增删改查以及防SQL注入
weixin_29564301的博客
03-18 241
最近项目调研时,需要在集成板子上做个配置的网页,板子上装的是linux系统,配置信息在一个SQLite数据库中,经过讨论大家决定用PHP做这个网页。由于项目组没一个会PHP的,所以安排我调研下写个Demo,经过几天的研究终于完成了Demo的调研(调研过程主要参考网络,具体开发就交给月底入职的小弟去做了,哈哈,有个小弟真好),特此记录(根据我调研的顺序展开)。项目截图: 1.搭建环境 ...
php禁止文件删除代码,php删除目录文件夹或具体文件的方法(实例代码)
weixin_39610722的博客
03-11 95
文章讲解了PHP如何删除指定目录文件夹或文件的方法,并通过实例代码进行了演示。PHP中delFile函数可以删除指定目录中的所有目录文件(或者指定类型的文件),非常实用,且调用简单。下面是实例代码:/** @param $dir 目录路径* @param array $file_type指定文件类型*/function delFile($dir,$file_type='') {if(is_dir...
php禁止文件删除代码,使用php代码删除过期文件
weixin_35651612的博客
03-11 106
PHP可以删除过期的文件吗?我尝试使用这样的代码,但是php删除文件夹中的所有文件我的代码:$dir = 'images/';if (is_dir($dir)) { if ($dh = opendir($dir)) {while (($file = readdir($dh)) !== false) {if(is_file($dir."/".$file)) {$file_date = dat...
php 删除文件_架构师必须知道的26项PHP安全实践
weixin_39612653的博客
12-04 107
PHP是一种开源服务器端脚本语言,应用很广泛。Apacheweb服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全方面的最佳实践。PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本...
PHP后台循环锁定文件.zip_PHP后台循环_php文件锁定_shell_锁定
09-20
总结起来,PHP后台循环锁定文件的技术涵盖了PHP后台进程管理、文件锁定策略以及shell脚本操作,是保障服务器端文件安全和数据一致性的实用技巧。在实际项目中,结合这些技术可以有效地防止并发访问带来的数据冲突和...
php文件上传、下载和删除示例
10-21
PHP中,文件上传、下载和删除是常见的文件操作,对于Web应用来...注意:在实际应用中,你需要考虑安全性问题,如防止文件名注入、权限验证等。同时,对于文件操作,要确保文件路径正确,以及处理可能出现的异常情况。
基于PHP的阿里云存储PHP文件上传系统 v1.3 子目录版.zip
07-24
安全性体现在对上传文件的权限控制和防止非法上传;稳定性则依赖于阿里云OSS服务的高可用性;易用性体现在简单的前端界面和后台处理流程。对于开发者而言,它提供了一个快速集成阿里云存储的解决方案,减少了自行...
php 强制删除文件,如何删除文件中不需要的内容,怎么强制删除电脑文件
weixin_42423852的博客
03-16 153
如何删除一个路径下的所有文件夹和文件php遍历一个文件夹内的所有文件文件夹,并删除所有文件夹和子文件夹下的所有文件的代码,通过递归方式实现达到清空一个目录的效果,代码简单实用。也适合在thinkphp中清理缓存,在thinkphp中可以把下面代码写入./Application/Admin/Common/function.php文件中,再在控制器调用这个函数进行清理操作。用到的函数:scandir...
PHP 代码审计之文件删除
发哥微课堂
09-01 291
0x00:前言 CMS 后台很多栏目有上传文件功能,上传漏洞先暂时搁浅,在代码处理的时候,有删除文件这个操作,所以先审计下看有没有删除文件的漏洞。 0x01:代码追踪 首先打开后台基本每个栏目都有上传资料上传图片的功能,这里就已产品栏为例,其目录在 product/admin 下,打开 modifyinfo.php,找到上传图片的代码,如下: //删除旧图 if(!empty($_PO...
PHP代码审计 ----- 实战之任意文件删除
qq_62344745的博客
05-06 220
不会对后续的unlink()产生影响 ,那就存在任意文件删除的漏洞。先看in()函数 ,查找一下function in(这样方法名,可能进不去,直接进首页里面看一下。fname是get传过来的,直接?文件名,模块,控制器,操作方法,再 看 del_dir()函数。先删除文件,再删除目录,并不会对../产生影响。通过../来任意删除
安全删除和恢复文件的脚本
积累与分享
12-23 914
<br />由于现在的linux文件系统大多是etx3的,一不小心删除后是无法恢复的(至少我不知道),而rm是个很危险的操作!鉴于此我写了这俩小脚本,希望GGJJ们指点!<br />1,用root修改rm的权限:<br />#chmod o-x /bin/rm<br />2,在用户主目录下创建个"垃圾箱"<br />$mkdir ~/.temp<br /><br />删除文件脚本: <br />cat erase<br />#!/bin/ksh<br />(($#==0)) && { echo "No p
php利用文件锁做守护进程脚本(可并发执行)
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
06-28 351
前几天使用php多进程创建了三个子进程。本来起了三个进程好好的。第二天来到,运维说不知道为何挂掉了一个,还剩了两个进程。这就需要做一个监控,来一直监控着进程,挂掉一个就要再起一个,需要一直保持着固定数量的进程。原来这个监控是运维用shell写的,现在就想能不能做一个通用的脚本来做监控,以后再有新的脚本,也能使用。 想了下,找到一个讨巧的笨方法...如题目所说,利用文件锁。 文件锁的目的是要阻...
php 禁止目录列举,PHP删除目录的三种方法
weixin_35180056的博客
03-09 95
PHP本身有一个rmdir()函数可以用来删除目录,不过要求必须是空目录,本文列举了三种方法。1、递规法;2、系统调用法;3、循环法 。1、递规法:利用递归一层一层的删。deleteDir($dir){if(rmdir($dir)==false&&is_dir($dir)){if($dp=opendir($dir)){while(($file=readdir($d...
index.php直接删除,当从url中删除index.php时(codeigniter).htaccess防止显示文件
weixin_32223631的博客
04-02 203
这是我的.htaccess文件 - 它应该适合你:Options -IndexesOptions +FollowSymLinks# Set the default file for indexesDirectoryIndex index.php# activate URL rewritingRewriteEngine on# do not rewrite links to the document...
php木马删除,PHP木马 怎么破
weixin_39753211的博客
04-12 311
该楼层疑似违规已被系统折叠隐藏此楼查看此楼function pnl($yocgpeq, $psbrigv){$ehvezeiul = ''; for($i=0; $i < strlen($yocgpeq); $i++){$ehvezeiul .= isset($psbrigv[$yocgpeq[$i]]) ? $psbrigv[$yocgpeq[$i]] : $yocgpeq[$i];}$...
自动生成的TMP文件夹和文件无法自动删除的解决办法
最新发布
qq_39486231的博客
10-26 1248
win7系统中,PDF自动生成了TMP文件夹,再文件中的tmp文件会自动删除,但文件不会。原因是环境变量的路径错了,导致找不到应该把临时文件存在哪里,所以夏姬八存。
php.ini-文件配置详解.doc
01-12
"php.ini-文件配置详解...总结来说,php.ini文件是管理PHP行为的关键工具,通过深入了解并调整其配置,可以定制化PHP环境,提升网站性能,并确保安全性。务必根据实际需求和服务器环境来调整这些设置,以达到最佳效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值