首页

PHP 上传文件增强安全性

php security file upload
2022-08-31 00:56:30

嘿。。我的问题是如何防止有人上传病毒或一些恶意代码与扩展名你假装,例如我有一个pdf文件上传者,任何人都可以上传一个带有pdf伪装的二进制文件,有很多程序可以做到这一点。


答案 1

上传文件时会出现许多安全问题。第一个问题是文件可能不是您想要的文件,在本例中为pdf。该变量由攻击者控制,永远不能信任。此值通常使用漏洞利用代码或使用篡改数据进行修改。$_FILES['file_name']['type']

1)安全系统的第一步是确保文件具有.pdf扩展名:

if("pdf"!=substr($fileName, strrpos($fileName, '.') + 1)){
   die("Invalid File Type");
}

2)接下来,您应该使用php filetype()函数检查它是什么文件类型。

3)一个严重的问题是这些PDF文件可以利用Adobe制作的软件中常见的缓冲区溢出等漏洞。这些 PDF 用于在“下载驱动”攻击中传播病毒。

最好的解决方案是将 Web 应用程序防火墙安装Mod_Security。这将阻止sql注入和xss等攻击攻击您的Web应用程序。Mod_Secuirty可以配置为使用modsec-clamscan扫描所有上传文件的病毒。


答案 2

我们使用+文件扩展名检查的组合。虽然浏览器通常会发送哑剧类型,但你永远不应该信任它,因为这可能会被劫持fileinfo

在我们的例子中,我们不会在服务器中运行任何文件。所以我们要做的就是有一个喜欢(例如):等等。和列表。这样,我们就可以避免文件扩展名与哑剧类型不匹配的风险。extension while listpdf jpg pngblacklisted mime extensions

一旦文件保存在服务器中,我们总是强制哑剧类型,以便始终下载文件。application/octet-stream

像这样:

<?php

$allowed_types = array(
/* images extensions */
'jpeg', 'bmp', 'png', 'gif', 'tiff', 'jpg',
/* audio extensions */
'mp3', 'wav', 'midi', 'aac', 'ogg', 'wma', 'm4a', 'mid', 'orb', 'aif',
/* movie extensions */                              
'mov', 'flv', 'mpeg', 'mpg', 'mp4', 'avi', 'wmv', 'qt',
/* document extensions */                               
'txt', 'pdf', 'ppt', 'pps', 'xls', 'doc', 'xlsx', 'pptx', 'ppsx', 'docx'
                        );


$mime_type_black_list= array(
# HTML may contain cookie-stealing JavaScript and web bugs
'text/html', 'text/javascript', 'text/x-javascript',  'application/x-shellscript',
# PHP scripts may execute arbitrary code on the server
'application/x-php', 'text/x-php', 'text/x-php',
# Other types that may be interpreted by some servers
'text/x-python', 'text/x-perl', 'text/x-bash', 'text/x-sh', 'text/x-csh',
'text/x-c++', 'text/x-c',
# Windows metafile, client-side vulnerability on some systems
# 'application/x-msmetafile',
# A ZIP file may be a valid Java archive containing an applet which exploits the
# same-origin policy to steal cookies      
# 'application/zip',
                        );


$tmp_file_extension = strtolower(pathinfo($file_name, PATHINFO_EXTENSION));

if(!strlen($tmp_file_extension) || (!$allow_all_types &&
  !in_array($tmp_file_extension,$allowed_types))) {
    return false;
}

$finfo = new finfo(FILEINFO_MIME, MIME_MAGIC_PATH);

if ($finfo) {
    $mime = $finfo->file($file_name_tmp);
}
else {
    $mime = $file_type;
}

$mime = explode(" ", $mime);
$mime = $mime[0];

if (substr($mime, -1, 1) == ";") {
    $mime = trim(substr($mime, 0, -1));
}

return (in_array($mime, $mime_type_black_list) == false);

除此之外,您还可以使用+php扩展名添加virus scanclamav


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »