Heim >php教程 >php手册 >php图片上传之文件安全

php图片上传之文件安全

WBOY
WBOYOriginal
2016-06-06 19:57:461217Durchsuche

一般的文件上传不会对文件安全进行检查,一般之后会验证扩展名 简单的扩展名验证就是,php的$_FILES数组中的type 这个是非常不靠谱,仅仅是验证了文件的后缀名,靠谱一些的就是 exif_imagetype 、 getimagesize 来判断,这个对文件类型的来说还是很靠谱的 安

一般的文件上传不会对文件安全进行检查,一般之后会验证扩展名

简单的扩展名验证就是,php的$_FILES数组中的type

这个是非常不靠谱,仅仅是验证了文件的后缀名,靠谱一些的就是exif_imagetypegetimagesize来判断,这个对文件类型的来说还是很靠谱的


安全的做法

0、  linux上的杀毒软件 clamav

在测试环境下可以使用 clamscan命令去测试(很慢)

生产环境要启动 clamd服务,使用clamdscan去扫描文件(很快,毫秒级)

备注:最好添加一个定时任务,每天更新一下病毒库 freshclam

扫描到了病毒后的处理方法:

a、(建议)使用imagecreatefromjpeg等方法读取文件信息,重新创建一个文件,达到杀毒又不影响用户使用的目的

b、直接删除图片,打到坏分子


1、对于一般的中小型的网站不需要使用杀毒软件,只要控制好服务器和文件夹、文件的执行权限就可以了



Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn