php中文件上傳的安全性問題_PHP教程-php教程-PHP中文網

首頁

後端開發

php教程

php中文件上傳的安全性問題_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 04:10 PM

etcpasswdphp。上傳可以基於安全支援文件的自動讀問題

可以讀/etc/passwd!

這段。。

[檔案上載]
PHP自動支援基於RFC 1867的檔案上載，我們看下面的範例：

上面的程式碼讓使用者從本地機器選擇一個文件，當點擊提交後，文件就會被上載到伺服器。這顯然很有用的功能，但是PHP的反應方式使這項功能變的不安全。當PHP第一次接到這種要求，甚至在它開始解析被呼叫的PHP程式碼之前，它會先接受遠端使用者的文件，檢查文件的長度是否超過「$MAX_FILE_SIZE variable」定義的值，如果透過這些測試的話，檔案就會被存在本地的一個暫存目錄中。

因此，攻擊者可以發送任意檔案給執行PHP的主機，在PHP程式還沒有決定是否接受檔案上載時，檔案已經被存在伺服器上了。

這裡我就不討論利用檔案上載來對伺服器進行DOS攻擊的可能性了。

讓我們考慮一下處理文件上載的PHP程序，正如我們上面說的，文件被接收並且存在伺服器上（位置是在配置文件中指定的，一般是/tmp），擴展名一般是隨機的，類似“phpxXuoXG”的形式。 PHP程式需要上載檔案的資訊以便處理它，這可以透過兩種方式，一種方式是在PHP 3中已經使用的，另一種是在我們對先前的方法提出安全公告後引入的。

但是，我們可以肯定的說，問題還是存在的，大多數PHP程式還是使用老的方式來處理上載檔案。 PHP設定了四個全域變數來描述上載文件，比如說上面的範例：

$hello = Filename on local machine (e.g "/tmp/phpxXuoXG")
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g "c:\temp\hello.txt")
$hello_type = Mime type of uploaded file (e.g "text/ plain")

然後PHP程式開始處理根據「$hello」指定的文件，問題在於「$hello」不一定是一個PHP設定的變量，任何遠端使用者都可以指定它。如果我們使用下面的方式：

http://vulnhost/vuln.php?hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt

就導致了下面的PHP全域變數（當然POST方式也可以（甚至是Cookie））：

$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"

上面的表單資料正好滿足了PHP程式所期望的變量，但是這時PHP程式不再處理上載的文件，而是處理「/etc/passwd 」（通常會導致內容暴露）。這種攻擊可以用於暴露任何敏感文件的內容。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

高流量網站的PHP性能調整May 14, 2025 am 12:13 AM

TheSecretTokeEpingAphp-PowerEdwebSiterUnningSmoothlyShyunderHeavyLoadInVolvOLVOLVOLDEVERSALKEYSTRATICES：1）emplactopCodeCachingWithOpcachingWithOpCacheToreCescriptexecution Time，2）使用atabasequercachingCachingCachingWithRedataBasEndataBaseLeSendataBaseLoad，3）

PHP中的依賴注入：初學者的代碼示例May 14, 2025 am 12:08 AM

你應該關心DependencyInjection(DI)，因為它能讓你的代碼更清晰、更易維護。 1)DI通過解耦類，使其更模塊化，2)提高了測試的便捷性和代碼的靈活性，3)使用DI容器可以管理複雜的依賴關係，但要注意性能影響和循環依賴問題，4)最佳實踐是依賴於抽象接口，實現鬆散耦合。

PHP性能：是否可以優化應用程序？May 14, 2025 am 12:04 AM

是的，優化papplicationispossibleandessential.1）empartcachingingcachingusedapcutorediucedsatabaseload.2）優化的atabaseswithexing，高效Quereteries，and ConconnectionPooling.3）EnhanceCodeWithBuilt-unctions，避免使用，避免使用ingglobalalairaiables，並避免使用

PHP性能優化：最終指南May 14, 2025 am 12:02 AM

theKeyStrategiestosigantificallyBoostPhpaPplicationPerformenCeare：1）UseOpCodeCachingLikeLikeLikeLikeLikeCacheToreDuceExecutiontime，2）優化AtabaseInteractionswithPreparedStateTementStatementStatementAndProperIndexing，3）配置

PHP依賴注入容器：快速啟動May 13, 2025 am 12:11 AM

aphpdepentioncontiveContainerIsatoolThatManagesClassDeptions，增強codemodocultion，可驗證性和Maintainability.itactsasaceCentralHubForeatingingIndections，因此reducingTightCightTightCoupOulplingIndeSingantInting。

PHP中的依賴注入與服務定位器May 13, 2025 am 12:10 AM

選擇DependencyInjection(DI)用於大型應用，ServiceLocator適合小型項目或原型。 1)DI通過構造函數注入依賴，提高代碼的測試性和模塊化。 2)ServiceLocator通過中心註冊獲取服務，方便但可能導致代碼耦合度增加。

PHP性能優化策略。May 13, 2025 am 12:06 AM

phpapplicationscanbeoptimizedForsPeedAndeffificeby：1）啟用cacheInphp.ini，2）使用preparedStatatementSwithPdoforDatabasequesies，3）3）替換loopswitharray_filtaray_filteraray_maparray_mapfordataprocrocessing，4）conformentnginxasaseproxy，5）