如何构建安全的图像上传脚本？

完整的安全图像上传脚本

尽管问题中讨论了广泛的措施，但全面的图像上传安全脚本应解决以下其他方面:

客户端验证：

• 使用 HTML5 input type="file" 属性过滤掉不支持的文件类型。

文件重命名：

• 使用唯一且随机的名称重命名上传的文件，以防止文件名重复猜测。
• 从文件名中删除任何敏感信息（例如扩展名）。

文件扩展名验证：

• 创建允许的文件扩展名白名单并验证上传文件的扩展名
• 检查双文件扩展名（例如“image.jpg.exe”）。

图像分析：

• 使用图像分析技术来识别上传的文件是否是有效图像，而不是伪装成恶意文件的恶意文件图像。

文件存储：

• 将上传的图像存储在网站根目录之外的安全位置。
• 使用支持访问控制列表 (ACL) 以限制对授权的访问的文件系统

数据库集成：

• 创建数据库表来跟踪上传的图像，包括它们的原始名称、新名称、MIME 类型和上传日期。
• 使用数据库检索并显示授权的图像用户。

示例脚本：

这是一个修改后的 PHP 脚本，其中包含上述安全措施：

<?php

if (!empty($_FILES['image'])) {
  // Validate file extension
  if (!in_array($_FILES['image']['type'], ['image/jpeg', 'image/png', 'image/gif'])) {
    echo 'Invalid file type';
    exit;
  }

  // Validate file size
  if ($_FILES['image']['size'] > 1 * 1024 * 1024) { // 1MB
    echo 'File too large';
    exit;
  }

  // Generate random filename
  $filename = uniqid() . '.' . pathinfo($_FILES['image']['name'], PATHINFO_EXTENSION);

  // Rename and move file
  if (move_uploaded_file($_FILES['image']['tmp_name'], 'uploads/' . $filename)) {
    // Insert into database
    $sql = "INSERT INTO images (name, original_name, mime_type, upload_date) VALUES (:name, :original_name, :mime_type, :upload_date)";
    $stmt = $conn->prepare($sql);
    $stmt->execute([
      ':name' => $filename,
      ':original_name' => $_FILES['image']['name'],
      ':mime_type' => $_FILES['image']['type'],
      ':upload_date' => date('Y-m-d H:i:s')
    ]);

    echo 'Image uploaded successfully';
  } else {
    echo 'Error uploading image';
  }
}
?>

此脚本验证文件扩展名、大小和 MIME 类型，重命名文件，安全存储，并将记录添加到

其他建议：

• 使用 Web 应用程序防火墙 (WAF) 阻止恶意请求和攻击。
• 监控上传可疑活动目录。
• 定期更新 PHP 版本和安全库以解决漏洞。

以上是如何构建安全的图像上传脚本？的详细内容。更多信息请关注PHP中文网其他相关文章！