快捷導(dǎo)航

PHP中uploaded_files函數(shù)使用方法詳解

更新時(shí)間：2011年03月09日 12:54:28 作者：

PHP uploaded_files函數(shù)的功能非常強(qiáng)大，希望通過(guò)這篇文章中介紹的內(nèi)容能夠幫助我們解決相關(guān)問(wèn)題，提高我們對(duì)PHP語(yǔ)言的了解程度。

對(duì)PHP語(yǔ)言有些了解的朋友們都知道，它包含有功能強(qiáng)大的函數(shù)庫(kù)。我們今天就一起來(lái)了解一下PHP uploaded_files函數(shù)的具體功能。
在早期的PHP版本中，上傳文件很可能是通過(guò)如下的代碼實(shí)現(xiàn)的：

復(fù)制代碼代碼如下:

 
…… 
if (isset($_FILES['file'])) { 
$tmp_name = $_FILES['file']['tmp_name']; 
} 
if (file_exists($tmp_name)) { 
copy($tmp_name,$destfile); 
} 
…… 

但是很可能會(huì)被偽造一個(gè)$_FILES['file']數(shù)組出來(lái)，如果tmp_name的內(nèi)容會(huì)被指定為/etc/passwd等敏感信息的內(nèi)容，那么很容易出現(xiàn)安全問(wèn)題。PHP在后來(lái)的版本中用is_uploaded_file() 和 move_uploaded_file()解決了這個(gè)問(wèn)題，用PHP uploaded_files函數(shù)不僅會(huì)檢查$_FILES['file'] ['tmp_name']是否存在，而且會(huì)檢查$_FILES['file']['tmp_name']是否是上傳的文件，這樣就使得偽造$_FILES 變量變得不可能，因?yàn)槟_本會(huì)在檢查到$_FILES['file']['tmp_name']不是PHP上傳的時(shí)候終止執(zhí)行。
偽造變得不可能了么？在很多的腳本里面我看到初試化部分就有@extract($_POST)之類的操作，以保證程序在register globals為off的環(huán)境下能繼續(xù)運(yùn)行，這樣的環(huán)境下我們很輕松可以偽造$_FILES數(shù)組，甚至將原來(lái)的$_FILES數(shù)組覆蓋，但是想完全的偽造一個(gè)$_FILES數(shù)組還是很困難的，因?yàn)槟銦o(wú)法饒過(guò)is_uploaded_file() 和 move_uploaded_file()。
但是在windows下的PHP環(huán)境下測(cè)試時(shí)，我們發(fā)現(xiàn)PHP的臨時(shí)文件很有規(guī)律，是C:\WINDOWS \TEMP\PHP93.tmp這種格式，上傳的時(shí)候文件名字會(huì)是C:\WINDOWS\TEMP\PHPXXXXXX.tmp這種格式變化，其中 XXXXXX是十六進(jìn)制的數(shù)字，并且是按照順序增加的，也就是說(shuō)如果這次上傳的臨時(shí)文件名是C:\WINDOWS\TEMP\PHP93.tmp，那么下次就會(huì)是C:\WINDOWS\TEMP\PHP94.tmp，臨時(shí)文件名變得有規(guī)律。
但是我們可能不知道當(dāng)前的文件名是什么，這可以通過(guò)PHP自身的錯(cuò) 誤機(jī)制泄露出來(lái)，譬如我們將臨時(shí)文件拷貝到一個(gè)沒(méi)有權(quán)限的目錄或者在目標(biāo)文件里包含文件系統(tǒng)禁止的字符就可以將當(dāng)前的臨時(shí)文件名字給泄露出來(lái)，當(dāng)然前提是沒(méi)有錯(cuò)誤抑制處理。
那么到底如何饒過(guò)is_uploaded_file() 和 move_uploaded_file()呢？看看PHP uploaded_files函數(shù)部分的代碼：

復(fù)制代碼代碼如下:

 
PHP_FUNCTION(is_uploaded_file) 
{ 
zval **path; 
if (!SG(rfc1867_uploaded_files)) { 
RETURN_FALSE; 
} 
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &path) != SUCCESS) { 
ZEND_WRONG_PARAM_COUNT(); 
} 
convert_to_string_ex(path); 
if (zend_hash_exists(SG(rfc1867_uploaded_files), Z_STRVAL_PP(path), Z_STRLEN_PP(path)+1)) { 
RETURN_TRUE; 
} else { 
RETURN_FALSE; 
} 
} 

它是從當(dāng)前的rfc1867_uploaded_files哈希表中查找看是否當(dāng)前的文件名是否存在。其中rfc1867_uploaded_files保存了當(dāng)前PHP腳本運(yùn)行過(guò)程中由系統(tǒng)和PHP產(chǎn)生的有關(guān)文件上傳的變量和內(nèi)容。如果存在，就說(shuō)明指定的文件名的確是本次上傳的，否則為否。
PHP 有個(gè)很奇怪的特性就是，當(dāng)你提交一個(gè)上傳表單時(shí)，PHP在做處理之前這個(gè)文件就已經(jīng)被上傳到臨時(shí)目錄下面，一直到PHP腳本運(yùn)行結(jié)束的時(shí)候才會(huì)銷毀掉。也就是說(shuō)，你即使向一個(gè)不接受$_FILSE變量的PHP腳本提交這樣一個(gè)表單，$_FILSE變量依然會(huì)產(chǎn)生，文件依然會(huì)被先上傳到臨時(shí)目錄。問(wèn)題就產(chǎn)生了。下面的腳本可能能說(shuō)明這個(gè)問(wèn)題：

復(fù)制代碼代碼如下:

 
< ? 
$a=$_FILES['attach']['tmp_name']; 
echo $a.”………….”; 
$file='C:\\WINDOWS\\TEMP\\PHP95.tmp'; 
echo $file; 
if(is_uploaded_file($file)) echo ‘………………Yes'; 
?> 

其中C:\\WINDOWS\\TEMP\\PHP95.tmp是我猜測(cè)的臨時(shí)文件名字，當(dāng)時(shí)，測(cè)試這個(gè)腳本的時(shí)候我們需要向它上傳一個(gè)文件或者是100個(gè) 文件，使得其中一個(gè)臨時(shí)文件名為C:\\WINDOWS\\TEMP\\PHP95.tmp。如果此刻腳本有extract操作，我們就可以很方便的偽造出一個(gè)$_FILES變量了。
不是么？可能要問(wèn)偽造$_FILES變量有什么作用，我們就可以產(chǎn)生原來(lái)程序不允許的文件名了，PHP在處理上傳的時(shí)候會(huì)對(duì) 原來(lái)的文件名有一個(gè)類似于basename()的操作，但是一旦可以偽造之后我們就可以輕易的在文件名之內(nèi)加\啊../啊等等你所喜歡的任何東西
PHP uploaded_files函數(shù)的實(shí)際利用可能有點(diǎn)苛刻，但是也總算是PHP一點(diǎn)瑕疵吧，呵呵。

您可能感興趣的文章: