-1
<html>
<body>

<form action="upload-file.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="Submit">
</form>

</body>
</html> 

这是文件上传的 php 代码..我想使用我从 w3schools 获得的这个 php 代码..你认为这是文件上传的安全代码吗?这是我发现的最简单的代码,效果非常好。我尝试了一些其他来源的代码,但我无法让它们工作……知道吗?

<?php
ini_set('display_errors', '0');
error_reporting(E_ALL | E_STRICT);
$allowedExts = array("jpg", "jpeg", "gif", "png");
$extension = end(explode(".", $_FILES['file']['name']));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 2097152)
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "Return Code: " . $_FILES["file"]["error"] . "<br>";
}
else
{
echo "Upload: " . $_FILES["file"]["name"] . "<br>";
echo "Type: " . $_FILES["file"]["type"] . "<br>";
echo "Size: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br>";

if (file_exists("images/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " already exists. ";
}
if($_FILES['file']['size'] >  2097152 )  //2mb

echo 'File over 2MB';

else
{
move_uploaded_file($_FILES["file"]["tmp_name"],
"images/" . $_FILES["file"]["name"]);
echo "Stored in: " . "images/" . $_FILES["file"]["name"];
}
}
}
else
{
echo "Invalid file";
}
?> 
4

1 回答 1

6

总比没有好,但我不会说它是安全的。也许比没有更安全

有许多恶意软件会感染图像,虽然代码会阻止您上传除带有图像扩展名的文件以外的任何内容,但它无法去除恶意软件或检查上传的实际字节。

从理论上讲,可执行文件可以从 myapp.exe 重命名为 myapp.jpg 以在您的服务器上放置一个坏文件,并且可以执行其他攻击将其重命名并感染您的服务器或一些粗心的客户端。

推荐阅读:https ://www.owasp.org/index.php/Unrestricted_File_Upload

这种类型的保护属于“为文件的扩展名使用白名单”,在这个特定的 OWASP 页面上被认为是“弱”。


此外,正如 MrCode 在上面的评论中所说,您可以尝试使用GD 库读取文件并检查图像尺寸。如果它返回为 0 或无法读取图像,则它不是图像文件。这是我链接到的文章中未提及的附加安全层。这也是我在 .NET 中使用 System.Drawing 命名空间在实践中所做的事情。感谢 MrCode,因为我不是 PHP 开发人员,也不知道如何在 PHP 中执行此操作。再次感谢!

于 2012-12-26T22:23:20.627 回答