検索

ホームページ >バックエンド開発 >PHPチュートリアル >悪意のある攻撃を防ぐために、PHP で画像のアップロードを保護するにはどうすればよいですか?

悪意のある攻撃を防ぐために、PHP で画像のアップロードを保護するにはどうすればよいですか?

Mary-Kate Olsen
Mary-Kate Olsenオリジナル
2024-12-05 10:38:12882ブラウズ

How Can I Secure Image Uploads in PHP to Prevent Malicious Attacks?

画像アップロードの保護

はじめに

画像アップロードの保護は、Web サイトを悪意のある攻撃から保護するために重要です攻撃します。 PHP には画像処理用の組み込み関数がいくつか用意されていますが、不正アクセスや悪用を防ぐために追加の対策を実装することが不可欠です。

課題

画像アップロードのセキュリティには、次の課題:

  • ファイル タイプの検証: アップロードされたことの確認ファイルでは、悪意のあるコードの実行を防ぐために、JPEG、PNG、GIF などの拡張子が許可されています。
  • Content-Type Validation: ファイルの MIME タイプが要求されたファイル タイプと一致することを確認して、潜在的なコードの実行を防ぎます。
  • ローカル ファイル インクルージョン (LFI) 攻撃: 攻撃者による攻撃の防止サーバーの脆弱性を悪用して、悪意のある画像のアップロードなど、保護されたファイルにアクセスします。
  • 外部アクセスへの暴露: アップロードされた画像へのアクセスを制限して、不正なダウンロードや表示を防ぎます。

安全なアップロード スクリプト

これらの懸念事項に対処するには、次の手順を実装します。

  • ステップ 1: ファイル タイプの検証
if (!in_array($ext, $whitelist_ext)) {
  $out['error'][] = "Invalid file Extension";
}
  • ステップ 2: Content-Type検証
if (!in_array($_FILES[$file_field]["type"], $whitelist_type)) {
  $out['error'][] = "Invalid file Type";
}
  • ステップ 3: LFI 攻撃の防止

アップロードされたファイルの名前を変更し、安全な場所に保存しますドキュメントルートの外側の場所。データベースを使用して、表示目的で元のファイル名を追跡します。

  • ステップ 4: 外部アクセスを制限する

アップロードされた画像へのアクセスを許可するデータベース内のファイルの存在を検証する安全なスクリプト。

画像処理

アップロード プロセスを保護することに加え、GD ライブラリまたは同様のツールを使用してアップロードされた画像を処理し、それらが実行可能ファイルではなく正当な画像であることを確認することが重要です。

完全なスクリプト

完全な安全な画像アップロード スクリプトには、次の内容を組み込むことができます。要素:

// Config Section
$path = 'uploads/';
$max_size = 1000000;
$whitelist_ext = array('jpeg','jpg','png','gif');
$whitelist_type = array('image/jpeg', 'image/jpg', 'image/png','image/gif');

// Validation
if (count($out['error'])>0) {
    return $out;
}

if (move_uploaded_file($_FILES[$file_field]['tmp_name'], $path.$newname)) {

    // Success
    $out['filepath'] = $path;
    $out['filename'] = $newname;
    return $out;
} else {
    $out['error'][] = "Server Error!";
}

// If no file was uploaded
if (count($out['error'])>0) {
    // The file has not correctly validated
    return $out;
}

追加措置

  • サーバーの過負荷を防ぐためにアップロード サイズを制限します
  • 不正行為を防ぐためにCSRF保護を実装します
  • 不審なアクティビティや不正なアクセスの試みがないか、アップロードされたファイルを監視します

結論

これらを実装することで、対策として、Web サイトとそのユーザーを潜在的な攻撃や脆弱性から保護する安全な画像アップロード スクリプトを作成できます。進化する脅威に先手を打つために、セキュリティ対策を定期的に確認して更新することを忘れないでください。

以上が悪意のある攻撃を防ぐために、PHP で画像のアップロードを保護するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

php csrf for while using protected location display database Access
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:PHP コードの速度を効率的に測定するにはどうすればよいですか?次の記事:PHP コードの速度を効率的に測定するにはどうすればよいですか?

関連記事

続きを見る