PHP ファイルシステムのセキュリティと予防策-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP ファイルシステムのセキュリティと予防策

伊谢尔伦

Nov 22, 2016 am 10:48 AM

PHP は、ほとんどのサーバーシステムのファイルとディレクトリのアクセス許可に関するセキュリティメカニズムに準拠しています。これにより、管理者はファイルシステム内でどのファイルを読み取り可能にするかを制御できます。グローバルに読み取り可能なファイルには特別な注意を払い、すべての許可されたユーザーによるこれらのファイルの読み取りが安全であることを確認する必要があります。

PHP はユーザーレベルでファイルシステムにアクセスするように設計されているため、/etc/passwd などのシステムファイルを読み取り、ネットワーク接続を変更し、大量の印刷ジョブを送信するための PHP コードを作成することは完全に可能です。等したがって、PHP コードが適切なファイルを読み書きしていることを確認する必要があります。

以下のコードを見てください。ユーザーはホームディレクトリ内のファイルを削除したいと考えています。このシナリオでは、ファイルシステムが Web インターフェイスを通じて管理されているため、Apache ユーザーがユーザーディレクトリ内のファイルを削除する権限を持っていると仮定します。

例 #1 変数のセキュリティチェックの実行に失敗すると、次のような問題が発生します...

<?php
    // 从用户目录中删除指定的文件
    $username = $_POST[&#39;user_submitted_name&#39;];
    $userfile = $_POST[&#39;user_submitted_filename&#39;];
    $homedir = "/home/$username";
    unlink ("$homedir/$userfile");
    echo "The file has been deleted!";
?>

ユーザー名とファイル名の変数はユーザーフォームから送信できるため、他の人のユーザー名とファイル名を送信したり、削除すべきものを削除したりすることもできます。文書は削除されません。この場合、他の認証方法を考慮する必要があります。送信された変数が「../etc/」と「passwd」だった場合に何が起こるかを考えてみましょう。上記のコードは次と同等です:

例 #2…ファイルシステム攻撃

<?php
    // 删除硬盘中任何 PHP 有访问权限的文件。如果 PHP 有 root 权限：
    $username = $_POST[&#39;user_submitted_name&#39;]; // "../etc"
    $userfile = $_POST[&#39;user_submitted_filename&#39;]; // "passwd"
    $homedir = "/home/$username"; // "/home/../etc"
    unlink("$homedir/$userfile"); // "/home/../etc/passwd"
    echo "The file has been deleted!";
?>

このような問題を防ぐための重要な対策が 2 つあります。

PHP Web ユーザーに非常に限定された権限のみを与えます。

送信されたすべての変数を確認します。

改善されたスクリプトは次のとおりです:

例 #3 より安全なファイル名チェック

<?php
    // 删除硬盘中 PHP 有权访问的文件
    $username = $_SERVER[&#39;REMOTE_USER&#39;]; // 使用认证机制
    $userfile = basename($_POST[&#39;user_submitted_filename&#39;]);
    $homedir = "/home/$username";
    $filepath = "$homedir/$userfile";
    if (file_exists($filepath) && unlink($filepath)) {
        $logstring = "Deleted $filepath\n";
    } else {
        $logstring = "Failed to delete $filepath\n";
    }
    $fp = fopen("/home/logging/filedelete.log", "a");
    fwrite ($fp, $logstring);
    fclose($fp);
    echo htmlentities($logstring, ENT_QUOTES);
?>

ただし、これにはまだ欠陥があります。認証システムでユーザーが独自のログインユーザー名を作成できる場合に、ユーザーがユーザー名として「../etc/」を使用することを選択した場合、システムは再び失敗します。したがって、チェックを強化する必要があります:

例 #4 より安全なファイル名チェック

<?php
    $username = $_SERVER[&#39;REMOTE_USER&#39;]; // 使用认证机制
    $userfile = $_POST[&#39;user_submitted_filename&#39;];
    $homedir = "/home/$username";
    $filepath = "$homedir/$userfile";
    if (!ctype_alnum($username) || !preg_match(&#39;/^(?:[a-z0-9_-]|\.(?!\.))+$/iD&#39;, $userfile)) {
        die("Bad username/filename");
    }
    //后略……
?>

オペレーティングシステムによっては、システムに接続されているデバイス (/dev/ または COM1) を含む、注意が必要なさまざまなファイルがあります。、設定ファイル (/ect/ ファイルおよび .ini ファイル)、一般的に使用されるストレージ領域 (/home/ またはマイドキュメント) など。このため、多くの場合、すべてのアクセス許可を無効にし、明示的に許可されたアクセス許可のみを有効にするポリシーを確立する方が簡単です。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

トラフィックの高いウェブサイトのPHPパフォーマンスチューニングMay 14, 2025 am 12:13 AM

thesecrettokeepingaphp-poweredwebsterunningsmootlyunderheavyloadinvolvesseveralkeystrategies：1）emform opcodecoduceSciptionexecutiontime、2）aatabasequerycachingwithiThing withiThistolessendavasoload、

PHPでの依存関係注射：初心者向けのコード例May 14, 2025 am 12:08 AM

コードをより明確かつ維持しやすくするため、依存関係が関心（DI）に注意する必要があります。 1）DIは、クラスを切り離すことにより、よりモジュール化されます。2）テストとコードの柔軟性の利便性を向上させ、3）DIコンテナを使用して複雑な依存関係を管理しますが、パフォーマンスの影響と円形の依存関係に注意してください。

PHPパフォーマンス：アプリケーションを最適化することは可能ですか？May 14, 2025 am 12:04 AM

はい、最適化されたAphPossibleandessention.1）CachingingusapCutoredatedAtabaseload.2）最適化、効率的なQueries、およびConnectionPooling.3）EnhcodeCodewithBultinctions、Avoididingglobalbariables、およびUsingopcodeching

PHPパフォーマンスの最適化：究極のガイドMay 14, 2025 am 12:02 AM

keyStrategIestsoSificlyvoostphpappliceperformanceare：1）useopcodecachinglikeToreexecutiontime、2）最適化abaseの相互作用とプロペラインデックス、3）3）構成

PHP依存性噴射コンテナ：クイックスタートMay 13, 2025 am 12:11 AM

aphpDependencyInjectionContaineriSATOULTAINATINAGECLASSDEPTINCIES、強化測定性、テスト可能性、および維持可能性。

PHPの依存噴射対サービスロケーターMay 13, 2025 am 12:10 AM

SELECT DEPENTENCINGINOFCENT（DI）大規模なアプリケーションの場合、ServicElocatorは小さなプロジェクトまたはプロトタイプに適しています。 1）DIは、コンストラクターインジェクションを通じてコードのテスト可能性とモジュール性を改善します。 2）ServiceLocatorは、センター登録を通じてサービスを取得します。これは便利ですが、コードカップリングの増加につながる可能性があります。

PHPパフォーマンス最適化戦略。May 13, 2025 am 12:06 AM

phpapplicationscanbeoptimizedforspeedandEfficiencyby：1）enabingopcacheinphp.ini、2）PreparedStatementswithpordatabasequeriesを使用して、3）LoopswithArray_filterandarray_mapfordataprocessing、4）の構成ngincasaSearverseproxy、5）

PHPメールの検証：電子メールが正しく送信されるようにしますMay 13, 2025 am 12:06 AM

PHPemailvalidationinvolvesthreesteps:1)Formatvalidationusingregularexpressionstochecktheemailformat;2)DNSvalidationtoensurethedomainhasavalidMXrecord;3)SMTPvalidation,themostthoroughmethod,whichchecksifthemailboxexistsbyconnectingtotheSMTPserver.Impl

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

WebStorm Mac版

便利なJavaScript開発ツール

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。