2

我有一个网站正在运行,它使用文件上传。一切正常,除了其中一位用户。他们使用 IE8 将文件从他们的 SharePoint 服务器上传到网站。当我查看 PHP 中的 $_FILES 变量时,'name' 键看起来像这样:

somefilename[1]

代替

somefilename.pdf

然后阻止上传,因为不允许扩展。有没有人曾经处理过/见过这个?它看起来像一个临时名称或隐藏的文件扩展名。

编辑:

你们中的一些人请求了 $_FILES 变量:

[Filedata] => Array
    (
        [name] => Algemene%20Voorwaarden%20Corporate%20Services%202011[2]
        [type] => application/octet-stream
        [tmp_name] => /tmp/phps19zye
        [error] => 0
        [size] => 148021
    )

这应该是一个 PDF 文件。我需要扩展,不仅出于安全原因,[type] 更适合于此,而且还用于演示和功能。我需要为文件类型显示正确的图标,并单独处理图像。

HTML 表单只是一个基本的测试表单:

<!DOCTYPE html>
<html>
    <head>
        <title></title>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    </head>
    <body>
        <form action="uploadtest3.php" method="post" enctype="multipart/form-data">
            <input type="file" name="file_upload" id="file_upload" />
            <br /><input type="submit" value="Uploaden" />
        </form>
    </body>
</html>

PHP文件如下:

$targetFolder = '/uploadtests/uploads3';

if (!empty($_FILES)) {
    $tempFile = $_FILES['file_upload']['tmp_name'];
    $targetPath = $_SERVER['DOCUMENT_ROOT'] . $targetFolder;
    $targetFile = $targetPath . $_FILES['file_upload']['name'];

    move_uploaded_file($tempFile,$targetFile);
        echo "OK";
}
4

3 回答 3

1

somefilename似乎是一个数组。您的用户是否选择了多个要上传的文件?您需要限制允许上传的文件数量,或者捕获数组并正确处理。您还可以确保将 Sharepoint 设置为允许上传多个文件

此外,我还找到了有关IE8 将文件上传到服务器的方式的信息。源文章指出:

此外,Internet 区域的“上传文件时包括本地目录路径”URLAction 已设置为“禁用”。此更改可防止潜在敏感的本地文件系统信息泄露到 Internet。例如,Internet Explorer 8 现在将只提交文件名 image.png,而不是提交完整路径 C:\users\ericlaw\documents\secret\image.png。

这意味着,如果您的代码(或 Sharepoint)希望将文件夹结构与文件PATH_SEP名分隔开,那么对于 IE8,它显然会失败。

于 2012-05-03T19:55:26.047 回答
1

介绍

以前见过这个问题,但不确定是什么原因造成的。我什至不想称其为错误,因为some files extension can be intentionally removed or altered出于恶意目的。

important thing is validating file properly文件是否有扩展名,最省心

原因:

  • File Extension Can easily be faked如果您的应用程序仅依赖文件扩展名进行验证,那就太糟糕了

  • $_FILES ['file_upload']['type']将返回application/octet-stream所有没有扩展名的文件,因此它也不是验证选项

  • 由于它是浏览器问题,Client Related Problem因此您无法控制。如果您能够管理这一点,您肯定会增加用户体验

简单补丁

解决方案非常简单。您只需验证您的文件FILEINFO并修复上传文件的任何扩展问题。

您还需要根据 Mime 类型验证所有上传的文件......并删除任何无效文件。

概念证明 

$allowedTypes = array (
        "pdf" => "application/pdf" 
);

$pathFinal = "final";
$pathTemp = "temp";
try {
    if (! empty ( $_FILES )) {
        $tempFile = $_FILES ['file_upload'] ['tmp_name'];
        $fileName = $_FILES ['file_upload'] ['name'];
        $destinationTemp = $pathTemp . DIRECTORY_SEPARATOR . $fileName;
        $destinationFinal = $pathFinal . DIRECTORY_SEPARATOR . $fileName;
        /**
         * Move To tempary File
         */
        move_uploaded_file ( $tempFile, $destinationTemp );

        $fileMime = mimeInfo ( $destinationTemp );
        $key = array_search ( $fileMime, $allowedTypes );

        /**
         * Validate Mime Type
         */
        if (empty ( $key )) {
            unlink ( $destinationTemp );
            throw new Exception ( "File Type not Supported" );
        }

        /**
         * Fix Extention Issues
         */
        $ext = pathinfo ( $destinationTemp, PATHINFO_EXTENSION );

        if (empty ( $ext )) {
            $destinationFinal .= "." . $key;
        }

        /**
         * Transfer File to Original Location
         */
        copy ( $destinationTemp, $destinationFinal );
        unlink ( $destinationTemp );

        echo "OK";
    }
} catch ( Exception $e ) {
    echo "ERROR :", $e->getMessage ();
}

使用的功能 

function mimeInfo($file) {
    return finfo_file ( finfo_open ( FILEINFO_MIME_TYPE ), $file );
}
于 2012-05-08T17:13:11.213 回答
0

您不应该按扩展名而是按 Mime 类型检查文件类型。使用变量$_FILES["uploaded_file"]["type"]获取 Mime 类型。

这样用户就不能用奇怪的 ASCII 字符篡改扩展名,并且您知道什么文件是可靠的。

于 2012-05-03T17:50:20.537 回答