PHP文件上传安全:优化代码有效防范漏洞
说明:任意文件上传漏洞,很多PHP开发者也会做一些简单的防护,但是这个防护有被绕过的可能。
原生漏洞PHP示例代码:
$file = $_FILES['file'] ?? [];
//检测文件类型
$allow_mime = ['image/jpg', 'image/jpeg', 'image/png', 'image/gif'];
if(! in_array($file['type'], $allow_mime)) {
echo json_encode(['code' => 1, 'msg' => "文件类型错误"], JSON_UNESCAPED_UNICODE);
return;
}
print_r($file);
上传一个PHP文件,提示文件类型错误,使用ApiPost修改上传的Content-Type,把原先的application/x-httpd-php修改为image/png,则可绕过。
因为:$_FILES['type']是根据上传文件的content-type获取的,并文件本身的mime-type,而content-type又可以被篡改。
原生漏洞PHP漏洞优化意见(获取临时文件的真实类型):
$file = $_FILES['file'] ?? [];
//检测文件类型
$allow_mime = ['image/jpg', 'image/jpeg', 'image/png', 'image/gif'];
if(! in_array((new \finfo(\FILEINFO_MIME_TYPE))->file($file['tmp_name']), $allow_mime)) {
echo json_encode(['code' => 1, 'msg' => "文件类型错误"], JSON_UNESCAPED_UNICODE);
return;
}
print_r($file);
对Laravel框架,也有同样的问题,别用错函数:
$file->getClientMimeType(); //相当于$_FILES['file']['type']; $file->getMimeType(); //相当于(new \finfo(\FILEINFO_MIME_TYPE))->file($_FILES['file']['tmp_name'])
说话得有依据,经过反复的追Laravel的源码:
底层对getClientMimeType()的实现: 是在vendor/symfony/http-foundation/Request.php的createFromGlobals()中,基于$_FILES做的封装。 底层对getMimeType()的实现: 是在vendor/symfony/mime/FileinfoMimeTypeGuesser.php的guessMimeType()中,利用finfo的内置PHP类实现的。
对Laravel任意文件上传漏洞优化意见(获取临时文件的真实类型):
使用getMimeType函数。
整体修复意见:
先判断文件后缀,在判断临时文件的mime类型属性,不要根据请求头判断。
扩展:
mime_content_type函数与(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path')的区别?
检测文件mime类型,还有一个mime_content_type();
- mime_content_type()获取的mime类型,会与操作系统的mime类型有映射,意味着不同的系统可能存在一些小差别。
- finfo类使用了 PHP 的 FileInfo 扩展。FileInfo 扩展利用了文件的特征签名(或称为魔术数字)来检测文件的实际类型,并根据文件的内容进行精确的 MIME 类型推断。
虽然两者相差不大,但是推荐用(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path');
(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path')与finfo_file()的区别?
使用finfo_file()也可以获取文件的mime类型。
$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $file['tmp_name']); $mime = (new \finfo(FILEINFO_MIME_TYPE))->file($file['tmp_name']);
两者底层对获取mime类型的实现无差别,展示写法不同。
什么是文件的魔术数字?
文件的魔术数字是文件头部的一段特定的字节序列,用来描述文件的类型或格式,一般用16进制表示。
文件的魔术数字一般包含一些特殊的字符和数字组成的固定长度的字节串,不同类型的文件具有不同的魔术数字。例如,PNG 图像文件的魔术数字为 89 50 4E 47 0D 0A 1A 0A,而 JPG 图像文件的魔术数字为 FF D8 FF E0 00 10 4A 46 49 46 00 01。
PHP获取魔术数字实现方案:
$fileHandle = fopen($_FILES['file']['tmp_name'], 'rb');
$hex = '';
while (! feof($fileHandle)) {
$byte = fread($fileHandle, 1);
$hex .= sprintf("%02X ", ord($byte));
}
fclose($fileHandle);
echo $hex;到此这篇关于PHP文件上传安全:优化代码有效防范漏洞的文章就介绍到这了,更多相关PHP防止任意文件上传漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
在php5中读写xml文档是非常方便的,可以直接使用php的SimpleXML方法来快速解析与生成xml格式的文件,本文实例说明如下,需要的朋友可以参考下2014-06-06
在本篇文章里小编给大家整理的是一篇关于php双向队列如何理解的相关内容及实例,需要的朋友们可以跟着学习下。2021-11-11
以下是对VS2010利用VS.PHP插件调试PHP的方法进行了详细的分析介绍,需要的朋友可以过来参考下2013-07-07
这篇文章主要介绍了PHP以mysqli方式连接类完整代码实例,对于学习和了解mysqli都有很大的帮助,需要的朋友可以参考下2014-07-07
这篇文章主要为大家介绍了如何利用PHP制作一个投票系统,文中的示例代码讲解详细,感兴趣的小伙伴快跟随小编一起学习一下2022-04-04
这篇文章主要介绍了PHP实现多维数组多字段自定义排序,通过将待排序数组的各个数组的$field保存在一维数组fieldArr中,在传入array_multisort中参与排序,相当于对$field一维数组的排序,而后根据排序后的key重新构建传入的待排序数组,需要的朋友可以参考下2023-10-10
PHP ini_set用来设置php.ini的值,在函数执行的时候生效,对于虚拟空间来说,很方便,下面为大家介绍下此方法的使用2014-01-01
今天小编就为大家分享一篇关于PHP中十六进制颜色与RGB颜色值互转的方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2019-03-03
ie与session丢失(新窗口cookie丢失)实测及解决方案
正如标题所言测试结果为:如果cookie设置是延后定时失效,而非进程级的,那在open后也能看到,所以,针对此情况,防止用户在使用ie内核出现登录状态丢失,可以配合cookie来使用2013-07-07
相信大家都知道,explode和split在php中都是可以通过特定字符把字符串转换成数组的,那么explode和split既然是一样的为什么会有两个函数呢,那么explode和split的区别在哪里呢,下面跟着小编我们一起来看看。2016-08-08
最新评论