简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
ホームページ
記事
に質問
コース
特集
ダウンロード
ゲーム
辞書
最近の更新

ホームページ  >  記事  >  バックエンド開発  >  PHP を使用してユーザーがアップロードしたファイルを安全に処理する方法

PHP を使用してユーザーがアップロードしたファイルを安全に処理する方法

王林
王林オリジナル
2023-07-07 23:45:061046ブラウズ

PHP を使用してユーザーがアップロードしたファイルを安全に処理する方法

インターネットの発展に伴い、Web サイトのユーザーインタラクション機能はますます豊富になり、ユーザーがファイルをアップロードすることは非常に一般的な機能です。 。しかし、ユーザーがアップロードしたファイルをどのように安全に扱うかは、開発者が直面しなければならない重要な課題となっています。この記事では、PHP を使用してユーザーがアップロードしたファイルを安全に処理する方法について説明します。

  1. ファイル アップロードの最大サイズを設定する
    PHP では、2 つの構成項目 upload_max_filesizepost_max_size を使用して、ファイルの最大サイズを制御できます。ファイルアップロードのサイズ。プロジェクトの構成ファイルまたは .htaccess ファイルで設定できます。

たとえば、構成ファイルでファイルのアップロードの最大サイズを 10MB に設定します。 

upload_max_filesize = 10M
post_max_size = 10M
  1. ファイルの種類を確認してください
    ユーザーはファイルを偽造することで悪意のあるファイルをアップロードできる可能性があります拡張子ファイルであるため、ファイルの MIME タイプをチェックして、アップロードが許可されているファイル タイプであることを確認する必要があります。 PHP の $_FILES 配列の type フィールドは、アップロードされたファイルの MIME タイプを取得できます。

finfo_open 関数と finfo_file 関数を使用して、ファイルの MIME タイプを確認します。 

$file = $_FILES['file']['tmp_name'];
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $file);
finfo_close($finfo);

$allowedTypes = array('image/jpeg', 'image/png');
if (!in_array($mime, $allowedTypes)) {
    // 文件类型不符合要求,执行相应操作
}
  1. ファイル名を確認します。
    user ファイル名に特殊文字をアップロードすると、悪意のあるアクションが試行される可能性があるため、安全な文字のみを許可するようにファイル名をフィルタリングおよび検証する必要があります。正規表現を検証に使用でき、ファイル名にのみ文字、数字、および一部の特殊文字を含めることができます: 
$filename = $_FILES['file']['name'];
$pattern = '/^[a-zA-Z0-9-_.]+$/';
if (!preg_match($pattern, $filename)) {
    // 文件名不符合要求,执行相应操作
}
  1. ファイルを安全なディレクトリに移動
    ユーザーがアップロードしたファイル安全なディレクトリでは、move_uploaded_file 関数を使用してファイルを一時ディレクトリから指定されたディレクトリに移動できます。 
$tempFile = $_FILES['file']['tmp_name'];
$targetDir = "uploads/";
$targetFile = $targetDir . basename($_FILES['file']['name']);

if (move_uploaded_file($tempFile, $targetFile)) {
    // 文件上传成功,执行相应操作
} else {
    // 文件上传失败,执行相应操作
}
  1. サフィックス名の検証の追加
    ファイル タイプのチェックに加えて、ファイルのサフィックス名を検証することでセキュリティを強化することもできます。 pathinfo 関数を使用してファイル拡張子を取得し、それを確認できます。 
$filename = $_FILES['file']['name'];
$extension = pathinfo($filename, PATHINFO_EXTENSION);
$allowedExtensions = array('jpg', 'png');
if (!in_array($extension, $allowedExtensions)) {
    // 文件后缀名不符合要求,执行相应操作
}

要約すると、PHP を使用してユーザーがアップロードしたファイルを安全に処理する方法に関するいくつかの提案をここに示します。ただし、セキュリティは継続的なプロセスであり、ユーザーがアップロードしたファイルがシステムに脅威を与えないようにすることができるのは、継続的に学習および更新されるセキュリティ対策のみです。開発時には、Laravelフレームワークのファイルアップロード機能など、より安全性と利便性の高い既存のセキュリティライブラリや機能を利用することをお勧めします。

参考資料:

  • PHP 公式ドキュメント: http://php.net/manual/en/features.file-upload.php
  • Laravel ファイルのアップロード: https://laravel.com/docs/5.8/filesystem#file-uploads

以上がPHP を使用してユーザーがアップロードしたファイルを安全に処理する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

php laravel 正则表达式 Filesystem .net http https
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:PHP と Youpai Cloud API を使用してオーディオとビデオのストレージ暗号化とアクセス制御機能を実装する方法次の記事:PHP と Youpai Cloud API を使用してオーディオとビデオのストレージ暗号化とアクセス制御機能を実装する方法

関連記事

続きを見る