PHP安全-檔案上傳攻擊

檔案上傳攻擊

#  有時在除了標準的表單資料外，你還需要讓使用者進行檔案上傳。由於檔案在表單中傳送時與其它的表單資料不同，你必須指定一個特別的編碼方式multipart/form-data：

CODE:

 

<form action="upload.php" method="POST"
enctype="multipart/form-data">

一個同時有普通表單資料和檔案的表單是一個特殊的格式，而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。

  允許使用者進行選擇檔案並上傳的表單元素是很簡單的：

CODE:

 

<input type="file" name="attachment" />

此元素在各種瀏覽器中的外觀表現形式各有不同。傳統上，介面上包括一個標準的文字方塊及一個瀏覽按鈕，以使用戶能夠直接手動輸入文件的路徑或透過瀏覽選擇。在Safari瀏覽器中只有瀏覽按鈕。幸運的是，它們的作用與行為是相同的。

  為了更好地示範檔案上傳機制，以下是一個允許使用者上傳附件的範例：

CODE:

 

<form action="upload.php" method="POST"
enctype="multipart/form-data">
  
Please choose a file to upload:
  
  

  
  

#隱藏的表單變數MAX_FILE_SIZE告訴了瀏覽器最大允許上傳的檔案大小。與許多客戶端限制相同，此限制很容易被攻擊者繞開，但它可以為合法用戶提供嚮導。在伺服器上進行該限制才是可靠的。

  PHP的設定變數中，upload_max_filesize控制最大允許上傳的檔案大小。同時post_max_size（POST表單的最大提交資料的大小）也能潛在地進行控制，因為檔案是透過表單資料上傳的。

  接收程式upload.php顯示了超級全域陣列$_FILES的內容：

CODE:

# 

<?php
 
  header(&#39;Content-Type: text/plain&#39;);
  print_r($_FILES);
 
  ?>

#為了理解上傳的過程，我們使用一個名為author.txt的檔案進行測試，以下是它的內容：

CODE:

# 

  Chris Shiflett
  http://www.php.cn/

##當你上傳該檔案到upload.php程式時，你可以在瀏覽器中看到類似下面的輸出：

CODE:

 

###

 Array
  (
      [attachment] => Array
          (
              [name] => author.txt
              [type] => text/plain
              [tmp_name] => /tmp/phpShfltt
              [error] => 0
              [size] => 36
          )
 
  )

###################### 雖然從上面可以看出PHP實際上在超級全局數組$_FILES中提供的內容，但是它無法給出表單資料的原始資訊。作為一個專注於安全的開發者，需要識別輸入以知道瀏覽器實際上發送了什麼，看看下面的HTTP請求資訊是很有必要的：############CODE:### ######### ######

POST /upload.php HTTP/1.1
  Host: example.org
  Content-Type: multipart/form-data;
boundary=----------12345
  Content-Length: 245
 
  ----------12345
  Content-Disposition: form-data; name="attachment";
filename="author.txt"
  Content-Type: text/plain
 
  Chris Shiflett
  http://www.php.cn/
 
  ----------12345
  Content-Disposition: form-data;
name="MAX_FILE_SIZE"
 
  1024
  ----------12345--

######################雖然你沒有必要理解請求的格式，但是你要能識別出文件及相關的元資料。使用者只提供了名稱與類型，因此tmp_name，error及size都是PHP所提供的。 ############  由於PHP在檔案系統的臨時檔案區保存上傳的檔案（本例中是/tmp/phpShfltt），因此通常進行的操作是把它移到其它地方進行保存及讀取到記憶體。如果你不對tmp_name作檢查以確保它是一個上傳的檔案（而不是/etc/passwd之類的東西），存在一個理論上的風險。之所以叫理論上的風險，是因為沒有已知的攻擊手段允許攻擊者去修改tmp_name的值。但是，沒有攻擊手段並不意味著你不需要做一些簡單的安全措施。新的攻擊手段每天都在出現，而簡單的一個步驟能保護你的系統。 ############  PHP提供了兩個方便的函數以減輕這些理論上的風險：is_uploaded_file( ) and move_uploaded_file( )。如果你需要確保tmp_name中的文件是上傳的文件，你可以用is_uploaded_file( )：############CODE:############ ### ###

 <?php
 
  $filename = $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
 
  if (is_uploaded_file($filename))
  {
    /* $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;] is an
uploaded file. */
  }
 
  ?>

###############

如果你希望只把上传的文件移到一个固定位置，你可以使用move_uploaded_file( )：

CODE:

 

 <?php
 
  $old_filename =
$_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
  $new_filename = &#39;/path/to/attachment.txt&#39;;
 
  if (move_uploaded_file($old_filename,
$new_filename))
  {
    /* $old_filename is an uploaded file, and the
move was successful. */
  }
 
  ?>

最后你可以用 filesize( ) 来校验文件的大小：

CODE:

 

 <?php
 
  $filename = $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
 
  if (is_uploaded_file($filename))
  {
    $size = filesize($filename);
  }
 
  ?>

这些安全措施的目的是加上一层额外的安全保护层。最佳的方法是永远尽可能少地去信任。 

以上就是PHP安全-文件上传攻击的内容，更多相关内容请关注PHP中文网（www.php.cn）！