7

我在互联网上找到了以下代码,用于在 php 中安全上传图片。

我想知道它涵盖了图像上传中所有可能的攻击方式。

define('MAX_SIZE_EXCEDED', 101);
define('UPLOAD_FAILED', 102);
define('NO_UPLOAD', 103);
define('NOT_IMAGE', 104);
define('INVALID_IMAGE', 105);
define('NONEXISTANT_PATH', 106);

class ImgUploader
{
  var $tmp_name;
  var $name;
  var $size;
  var $type;
  var $error;
  var $width_orig;
  var $height_orig;
  var $num_type;
  var $errorCode = 0;
    var $allow_types = array(IMAGETYPE_GIF, IMAGETYPE_JPEG, IMAGETYPE_PNG);

  function __construct($fileArray)
  {
    foreach($fileArray as $key => $value)
    {
      $this->$key = $value;
    }
    if($this->error > 0)
    {
      switch ($this->error)
      {
        case 1: $this->errorCode = MAX_SIZE_EXCEDED; break;
        case 2: $this->errorCode = MAX_SIZE_EXCEDED; break;
        case 3: $this->errorCode = UPLOAD_FAILED; break;
        case 4: $this->errorCode = NO_UPLOAD; break;
      }
    }
    if($this->errorCode == 0)
    {
      $this->secure();
    }
  }

  function secure()
  {
    //$this->num_type = exif_imagetype($this->tmp_name);
    @list($this->width_orig, $this->height_orig, $this->num_type) = getimagesize($this->tmp_name);

    if(filesize($this->tmp_name) > 1024*1024*1024*5) // allows for five megabytes.  Change this number if need be.
    {
      $this->errorCode = MAX_SIZE_EXCEDED;
      return false;
    }

    if (!$this->num_type)
    {
      $this->errorCode = NOT_IMAGE;
        return false;
    }
    if(!in_array($this->num_type, $this->allow_types))
    {
      $this->errorCode = INVALID_IMAGE;
      return false;
    }
  }

  function getError()
  {
    return $this->errorCode;
  }

  function upload_unscaled($folder, $name)
  {
    return $this->upload($folder, $name, "0", "0");
  }

  function upload($folder, $name, $width, $height, $scaleUp = false)
  {
    // $folder is location to be saved
    // $name is name of file, without file extention
    // $width is desired max width
    // $height is desired max height

    if($this->errorCode > 0)
      return false;

    // deal with sizing
    // if image is small enough to not scale, or upload_unscaled() is called, don't scale
    if((!$scaleUp && ($width > $this->width_orig && $height > $this->height_orig)) || ($width === "0" && $height === "0"))
    {
      $width = $this->width_orig;
      $height = $this->height_orig;
    }
    else
    {
      // if height diff is less than width dif, calc height
      if(($this->height_orig - $height) <= ($this->width_orig - $width))
        $height = ($width / $this->width_orig) * $this->height_orig;
      else
        $width = ($height / $this->height_orig) * $this->width_orig;
    }

    // Resample
    switch($this->num_type)
    {
      case IMAGETYPE_GIF: $image_o = imagecreatefromgif($this->tmp_name); $ext = '.gif'; break;
      case IMAGETYPE_JPEG: $image_o = imagecreatefromjpeg($this->tmp_name); $ext = '.jpg'; break;
      case IMAGETYPE_PNG: $image_o = imagecreatefrompng($this->tmp_name); $ext = '.png'; break;
    }

    $filepath = $folder.(substr($folder,-1) != '/' ? '/' : '');
    if(is_dir($_SERVER['DOCUMENT_ROOT'].$filepath))
      $filepath .= $name.$ext;
    else
    {
      $this->errorCode = NONEXISTANT_PATH;
      imagedestroy($image_o);
      return false;
    }

    $image_r = imagecreatetruecolor($width, $height);
    imagecopyresampled($image_r, $image_o, 0, 0, 0, 0, $width, $height, $this->width_orig, $this->height_orig);

    switch($this->num_type)
    {
      case IMAGETYPE_GIF: imagegif($image_r, $_SERVER['DOCUMENT_ROOT'].$filepath); break;
      case IMAGETYPE_JPEG: imagejpeg($image_r, $_SERVER['DOCUMENT_ROOT'].$filepath); break;
      case IMAGETYPE_PNG: imagepng($image_r, $_SERVER['DOCUMENT_ROOT'].$filepath); break;
    }

    imagedestroy($image_o);
    imagedestroy($image_r);

    return '/'.$filepath;
  }
}

我还有一个 .htaccess 文件存储在“images”文件夹中,它关闭了文件脚本,因此没有人可以在照片文件夹中执行脚本。

<Files ^(*.jpg)>
order deny,allow
deny from all
</Files>
Options -Indexes
Options -ExecCGI 
AddHandler cgi-script .php .php3 .php4 .php5 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi

出于安全原因,这样做就足够了,或者我必须采取一些其他步骤来保护我的代码和网站。

4

5 回答 5

7

我要说的第一件事是使用 Apache 的mod_mime检查文件类型,否则我可以发送一个 HTTP 请求,说明我是 JPEG 文件!并且您只需信任Yeap 之类的文件扩展名!你有 .jpg 扩展名,但实际上我可以注入 PHP 源代码而不是 JPEG 数据,然后我可以在你的服务器上执行 PHP 源代码。

另一件事是始终强制 Apache 不运行任何这些图像类型。您可以使用ForceType指令来做到这一点。

<FilesMatch "(?i)\.jpe?g$">
    ForceType image/jpeg
</FilesMatch>

编辑:

我没有看到底线。关闭文件脚本绝对有帮助。

于 2013-01-29T12:42:25.923 回答
3

此代码安全吗?

PHP

总之,不,不一定!有一个代码没有涵盖的致命缺陷,但不要绝望,这很容易解决!

虽然脚本正在测试文件的扩展名,但它并没有测试文件的 MIME 类型,因此可能会引发整个问题。

除了这个小漏洞之外,代码非常安全。

阿帕奇

伪造一个 HTTP 请求看起来像一个 JPEG 是一件非常容易的事情,虽然 PHP 可以处理这个问题,但有时最好确保这个漏洞已经被各个角度覆盖。使用 Apache 中的 MOD_MIME 模块的简单修复可用于修复此缺陷,如下所述。

HTTPS -可能无关紧要

如果您担心这些文件会在客户端和服务器之间被嗅探,那么绝对重要的安全部分就是在您的网站上使用 SSL 证书。这将加密客户端和服务器之间的所有数据。

但是,如果您只是担心服务器端的事情,尽管建议这样做,但这并不是必需的。

可能的解决方案

finfo()功能_

finfo()函数将返回文件的 MIME 类型,因此指示它是否是 JPEG 并且可以上传。

有关此功能的更多详细信息,请参见此处

上传替代品

就个人而言,我更喜欢使用 Colin Verot Upload Class。这个类非常易于使用,涵盖了所有潜在的安全问题,使用 GD 库具有大量扩展功能,并且会不断维护。

在此处访问 Colin Verot 的网站以下载并开始使用该课程。

阿帕奇 MOD_MIME

Apache MOD_MIME 模块将强制检查发送到服务器的文件的 MIME 类型。

这里查看更多信息。

于 2013-01-31T09:40:32.983 回答
1

代码看起来不错,最重要的答案也很好我只想再补充一点关于安全性:

  • 您应该将文件存储在文档根目录之外的目录中(不能通过 http 请求访问),并通过首先检查正确授权的脚本来提供它们。
于 2013-01-31T12:51:32.700 回答
0

由于您关闭了服务器上文件的所有解释,因此只剩下文件名。如果您生成自己的名称或过滤用户提供的名称,则无需担心。

嗯..几乎没有。GD 库中可能存在安全错误,因此使用恶意图像可能会在调整大小时做坏事。但这不是您可以通过 PHP 处理的,因此请保持服务器更新。

于 2013-01-30T03:44:19.337 回答
-1

如果您不介意使用现有的 PHP 上传系统,那么这个 jQuery/PHP 上传框架非常可配置且令人惊叹。

http://blueimp.github.com/jQuery-File-Upload/

于 2013-01-30T22:52:35.270 回答