PHP文件上传功能实现逻辑分析
作者:忧郁的鸟蛋 发布时间:2023-05-25 02:28:30
文件名字处理
文件名字得看业务要求。不需要保留原始名字,则随机生成名字,拼接上白名单校验过的后缀即可。
反之要谨慎处理:
//允许上传的后缀白名单
$extension_white_list = ['jpg', 'pdf'];
//原始文件的名字
$origin_file_name = 'xx/xxx/10月CPI同比上涨2.1%.php.pdf';
//提取文件后缀,并校验是否在白名单内
$extension = strtolower(pathinfo($origin_file_name, PATHINFO_EXTENSION));
if (!in_array($extension, $extension_white_list)) {
die('错误的文件类型');
}
//提取文件名
$new_file_name = pathinfo($origin_file_name, PATHINFO_BASENAME);
//截取掉后缀部分
$new_file_name = mb_substr($new_file_name, 0, mb_strlen($new_file_name) - 1 - mb_strlen($extension));
//只保留有限长度的名字
$new_file_name = mb_substr($new_file_name, 0, 20);
//替换掉所有的 . 避免攻击者构造多后缀的文件,缺点是文件名不能包含 .
$new_file_name = str_replace('.', '_', $new_file_name);
//把处理过的名字和后缀拼接起来构造成一个名字
$new_file_name = $new_file_name . '.' . $extension;
print_r($new_file_name); //10月CPI同比上涨2_1%_php.pdf
文件内容处理
文件后缀只是表面,一个 php 文件,把后缀改成 jpg,也改变不了它携带 php 代码的事实。
针对图片文件,可以读取图片文件头判断图片类型,当然我也没测试过这个方法,感兴趣的可以自测。
另外即便上述方法可行,依然可以绕过,只要在 php 文件的头部写入某个图片类型的头部特征的字节即可伪装。
针对图片文件内容处理,真正的大招是重绘图片。
windows 系统下用 copy 命令可以制作一个包含 php 代码的图片文件,命令如下:
Copy 1.jpg/b + test.php/a 2.jpg
上述命令的意思是,把 test.php 合并到 1.jpg 的尾部,并重新导出到 2.jpg 里面,如此一来,这个 2.jpg 就是一个包含 php 代码的图片文件,可以用记事本打开它,拖滚动条到底部看到 php 代码。
像这种不干净的图片,用重绘图片的方式可以剔除掉不干净的部分。下面是重绘图片的 php 代码:
try {
$jpg = '包含php代码的.jpg';
list($width, $height) = getimagesize($jpg);
$im = imagecreatetruecolor($width, $height);
$image = imagecreatefromjpeg($jpg);
imagecopyresampled($im, $image, 0, 0, 0, 0, $width, $height, $width, $height);
$target = '重绘后干净的图片.jpg';
imagejpeg($image, $target);
} finally {
isset($im) && is_resource($im) && imagedestroy($im);
isset($image) && is_resource($image) && imagedestroy($image);
}
这个处理办法的缺点是,耗费内存,图片失真,而且只能处理图片。
当然其它的文件格式,我也不知道能不能用重绘的思路去处理。
文件权限处理
只讨论 Linux 下的权限,先简单介绍 Linux 的权限:
读取,字母 r 或数字 4 表示
写入,字母 w 或数字 2 表示
执行,字母 x 或数字 1 表示
对文件来讲,rwx 是如下含义:
r:可打开读取此文件
w:可写入此文件
x:可执行此文件
对目录来讲,rwx 的含义又有点差别:
r:可读取此目录的内容列表
w:可在此目录里面进行:增、删、改文件和子目录
x:可进入此目录
另外 Linux 里面,针对一个文件,用户是会被分成三种,分别是:创建该文件的用户、和创建该文件的用户处于同一用户组的用户、既不是创建者也不是同一个小组的其它用户。
有了对 Linux 的权限了解,针对上传的文件所在的目录,应该设定 755 权限,表示:
创建该目录的用户有读取、写入、进入此目录的权限
和创建该目录的用户处于同一用户组的用户有读取、进入此目录的权限
既不是创建者也不是同一个小组的其它用户有读取、进入此目录的权限
755 的权限设定,可以让 nginx 代理静态文件的时候不会报 403 错误。
代码示例:
mkdir($save_path, 0755, true);
针对上传的文件,采用更严格的权限设定,应该设定 644 权限,表示:
创建该文件的用户有读取、写入此文件的权限,无法执行
和创建该文件的用户处于同一用户组的用户只有读取权限
既不是创建者也不是同一个小组的其它用户只有读取权限
644 的权限设定,可以确保即便是上传了一个非法文件也无法串改内容、执行。
代码示例:
chmod($file, 0644);
来源:https://blog.csdn.net/lwf3115841/article/details/128078393


猜你喜欢
- ASP与MySQL的连接ASP和MySQL连接目前有两种方法:一种方法是使用MySQLX之类的组件,不过这种连接方法需要支付一定的费用;另外
- 关于asp随机数的相关文章:asp生成一个不重复的随机数字 8个asp生成随机字符的函数 <html> <me
- 在做项目时发现,很多场合都可能用到Input但又想让它具有select的特性,研究了一下,似乎可以实现,下面的代码可以大概说明我的意图,但实
- 在大型商业应用中,数据的异地容灾备份十分重要,也必不可少。笔者根据自己的实践经验,设计了一套简洁地实现异地数据自动备份的方法,可供数据库管理
- 一、创建和管理表 1、创建表语法 create table 表名(column datatype [default expr][,colum
- 指定的代码页特性无效。 codepage属性:是指出网页的代码页 如果制作的网页脚本与WEB服务端的默认代码页不同,则必须指明代码页: 代码
- <%''调用例子'Dim int_RPP,int_Start,int_showNumberLink
- 在广大网友心目中,他们就是中国互联网搜索领域的三驾马车。无论这三家搜索巨头承不承认,在网友眼中总会来将他们进行对比比较。当然,更多时候的比较
- 如果你的PHP网站换了空间,必定要对Mysql数据库进行转移,一般的转移的方法,是备份再还原,有点繁琐,而且由于数据库版本的不一样会导致数据
- 写入:1:把gif图像文件读入内存(一个变量strTemp)。2:写入数据库。Dim binTmp() As ByteDim conn As
- 应该是很方便的了,支持几乎所有主流浏览器(ie5,6,7,8;ff;傲游;Opera)已更新至可提交录入内容<script type=
- 如何用下拉列表显示数据库里的内容? 我们来看看实现这个功能的程序:<%Dim objDC, objRSS
- 在上一个文章里写了关于左(右)侧定宽右(左)侧自动缩放的两列浮动,这个文章就要说一下三列浮动的问题了。在之前说过,两列浮动是其他多列浮动的基
- <%'使用说明'Dim a'Set a=new CreateExce
- 以这两个域名为例:http://www.knowsky.com/http://code.knowsky.com/这两个域名都是绑在同一个空间
- 磁盘搜索是性能的很大瓶颈。这个问题在数据大量增长以至于无法使用有效的缓存时尤为明显。或多或少随即访问大数据库时,就必然会有至少一次磁盘搜索来
- MySQL 是完全网络化的跨平台关系型数据库系统,同时是具有客户机/服务器体系结构的分布式数据库管理系统。MySQL 是完全网络化
- javascript曾一度被认为是玩具型的语言,因为它太容易上手,而且,javascript曾一度担任为web站点“打杂”的职责。直到Aja
- 原来字母还可以组合成各种动物图案,真是佩服设计师的奇思妙想,很可爱,超级有趣的组合!Bembo's Zoo 猴子:羊是牛吗,勤劳的水
- 具体用法:1、<%= Counters.Get(CounterName) %>显示计数器的值。2、<% counterva