php文件系统安全及防范措施-php教程-PHP中文网

首页

后端开发

php教程

php文件系统安全及防范措施

伊谢尔伦

Nov 22, 2016 am 10:48 AM

PHP 遵从大多数服务器系统中关于文件和目录权限的安全机制。这就使管理员可以控制哪些文件在文件系统内是可读的。必须特别注意的是全局的可读文件，并确保每一个有权限的用户对这些文件的读取动作都是安全的。

PHP 被设计为以用户级别来访问文件系统，所以完全有可能通过编写一段 PHP 代码来读取系统文件如 /etc/passwd，更改网络连接以及发送大量打印任务等等。因此必须确保 PHP 代码读取和写入的是合适的文件。

请看下面的代码，用户想要删除自己主目录中的一个文件。假设此情形是通过 web 界面来管理文件系统，因此 Apache 用户有权删除用户目录下的文件。

Example #1 不对变量进行安全检查会导致……

<?php
    // 从用户目录中删除指定的文件
    $username = $_POST[&#39;user_submitted_name&#39;];
    $userfile = $_POST[&#39;user_submitted_filename&#39;];
    $homedir = "/home/$username";
    unlink ("$homedir/$userfile");
    echo "The file has been deleted!";
?>

既然 username 和 filename 变量可以通过用户表单来提交，那就可以提交别人的用户名和文件名，甚至可以删掉本来不应该让他们删除的文件。这种情况下，就要考虑其它方式的认证。想想看如果提交的变量是“../etc/”和“passwd”会发生什么。上面的代码就等同于：

Example #2 ……文件系统攻击

<?php
    // 删除硬盘中任何 PHP 有访问权限的文件。如果 PHP 有 root 权限：
    $username = $_POST[&#39;user_submitted_name&#39;]; // "../etc"
    $userfile = $_POST[&#39;user_submitted_filename&#39;]; // "passwd"
    $homedir = "/home/$username"; // "/home/../etc"
    unlink("$homedir/$userfile"); // "/home/../etc/passwd"
    echo "The file has been deleted!";
?>

有两个重要措施来防止此类问题。

只给 PHP 的 web 用户很有限的权限。

检查所有提交上来的变量。

下面是改进的脚本：

Example #3 更安全的文件名检查

<?php
    // 删除硬盘中 PHP 有权访问的文件
    $username = $_SERVER[&#39;REMOTE_USER&#39;]; // 使用认证机制
    $userfile = basename($_POST[&#39;user_submitted_filename&#39;]);
    $homedir = "/home/$username";
    $filepath = "$homedir/$userfile";
    if (file_exists($filepath) && unlink($filepath)) {
        $logstring = "Deleted $filepath\n";
    } else {
        $logstring = "Failed to delete $filepath\n";
    }
    $fp = fopen("/home/logging/filedelete.log", "a");
    fwrite ($fp, $logstring);
    fclose($fp);
    echo htmlentities($logstring, ENT_QUOTES);
?>

然而，这样做仍然是有缺陷的。如果认证系统允许用户建立自己的登录用户名，而用户选择用“../etc/”作为用户名，系统又一次沦陷了。所以，需要加强检查：

Example #4 更安全的文件名检查

<?php
    $username = $_SERVER[&#39;REMOTE_USER&#39;]; // 使用认证机制
    $userfile = $_POST[&#39;user_submitted_filename&#39;];
    $homedir = "/home/$username";
    $filepath = "$homedir/$userfile";
    if (!ctype_alnum($username) || !preg_match(&#39;/^(?:[a-z0-9_-]|\.(?!\.))+$/iD&#39;, $userfile)) {
        die("Bad username/filename");
    }
    //后略……
?>

根据操作系统的不同，存在着各种各样需要注意的文件，包括联系到系统的设备（/dev/ 或者 COM1）、配置文件（/ect/ 文件和 .ini文件）、常用的存储区域（/home/ 或者 My Documents）等等。由于此原因，建立一个策略禁止所有权限而只开放明确允许的通常更容易些。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

继续使用PHP：耐力的原因Apr 19, 2025 am 12:23 AM

PHP仍然流行的原因是其易用性、灵活性和强大的生态系统。1)易用性和简单语法使其成为初学者的首选。2)与web开发紧密结合，处理HTTP请求和数据库交互出色。3)庞大的生态系统提供了丰富的工具和库。4)活跃的社区和开源性质使其适应新需求和技术趋势。

PHP和Python：探索他们的相似性和差异Apr 19, 2025 am 12:21 AM

PHP和Python都是高层次的编程语言，广泛应用于Web开发、数据处理和自动化任务。1.PHP常用于构建动态网站和内容管理系统，而Python常用于构建Web框架和数据科学。2.PHP使用echo输出内容，Python使用print。3.两者都支持面向对象编程，但语法和关键字不同。4.PHP支持弱类型转换，Python则更严格。5.PHP性能优化包括使用OPcache和异步编程，Python则使用cProfile和异步编程。

PHP和Python：解释了不同的范例Apr 18, 2025 am 12:26 AM

PHP主要是过程式编程，但也支持面向对象编程（OOP）；Python支持多种范式，包括OOP、函数式和过程式编程。PHP适合web开发，Python适用于多种应用，如数据分析和机器学习。

PHP和Python：深入了解他们的历史Apr 18, 2025 am 12:25 AM

PHP起源于1994年，由RasmusLerdorf开发，最初用于跟踪网站访问者，逐渐演变为服务器端脚本语言，广泛应用于网页开发。Python由GuidovanRossum于1980年代末开发，1991年首次发布，强调代码可读性和简洁性，适用于科学计算、数据分析等领域。

在PHP和Python之间进行选择：指南Apr 18, 2025 am 12:24 AM

PHP适合网页开发和快速原型开发，Python适用于数据科学和机器学习。1.PHP用于动态网页开发，语法简单，适合快速开发。2.Python语法简洁，适用于多领域，库生态系统强大。

PHP和框架：现代化语言Apr 18, 2025 am 12:14 AM

PHP在现代化进程中仍然重要，因为它支持大量网站和应用，并通过框架适应开发需求。1.PHP7提升了性能并引入了新功能。2.现代框架如Laravel、Symfony和CodeIgniter简化开发，提高代码质量。3.性能优化和最佳实践进一步提升应用效率。

PHP的影响：网络开发及以后Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP类型提示如何起作用，包括标量类型，返回类型，联合类型和无效类型？Apr 17, 2025 am 12:25 AM

PHP类型提示提升代码质量和可读性。1)标量类型提示：自PHP7.0起，允许在函数参数中指定基本数据类型，如int、float等。2)返回类型提示：确保函数返回值类型的一致性。3)联合类型提示：自PHP8.0起，允许在函数参数或返回值中指定多个类型。4)可空类型提示：允许包含null值，处理可能返回空值的函数。

See all articles