快捷導(dǎo)航

PHP文件上傳安全：優(yōu)化代碼有效防范漏洞

更新時間：2023年12月26日 08:47:39 作者：小松聊PHP進(jìn)階

PHP文件上傳安全是網(wǎng)站開發(fā)中至關(guān)重要的一環(huán),想要避免惡意攻擊和數(shù)據(jù)泄露？本指南將為您揭示優(yōu)化代碼、有效防范漏洞的關(guān)鍵方法,讓我們一起打造更安全的文件上傳系統(tǒng)吧！

原生漏洞PHP示例代碼：
原生漏洞PHP漏洞優(yōu)化意見（獲取臨時文件的真實類型）：
對Laravel框架，也有同樣的問題，別用錯函數(shù)：
對Laravel任意文件上傳漏洞優(yōu)化意見（獲取臨時文件的真實類型）：
整體修復(fù)意見：
擴(kuò)展：

mime_content_type函數(shù)與(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path')的區(qū)別？
(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path')與finfo_file()的區(qū)別？
什么是文件的魔術(shù)數(shù)字？

說明：任意文件上傳漏洞，很多PHP開發(fā)者也會做一些簡單的防護(hù)，但是這個防護(hù)有被繞過的可能。

原生漏洞PHP示例代碼：

$file = $_FILES['file'] ?? [];
//檢測文件類型
$allow_mime = ['image/jpg', 'image/jpeg', 'image/png', 'image/gif'];
if(! in_array($file['type'], $allow_mime)) {
    echo json_encode(['code' => 1, 'msg' => "文件類型錯誤"], JSON_UNESCAPED_UNICODE);
    return;
}

print_r($file);

上傳一個PHP文件，提示文件類型錯誤，使用ApiPost修改上傳的Content-Type，把原先的application/x-httpd-php修改為image/png，則可繞過。
因為：$_FILES['type']是根據(jù)上傳文件的content-type獲取的，并文件本身的mime-type，而content-type又可以被篡改。

原生漏洞PHP漏洞優(yōu)化意見（獲取臨時文件的真實類型）：

$file = $_FILES['file'] ?? [];
//檢測文件類型
$allow_mime = ['image/jpg', 'image/jpeg', 'image/png', 'image/gif'];
if(! in_array((new \finfo(\FILEINFO_MIME_TYPE))->file($file['tmp_name']), $allow_mime)) {
    echo json_encode(['code' => 1, 'msg' => "文件類型錯誤"], JSON_UNESCAPED_UNICODE);
    return;
}

print_r($file);

對Laravel框架，也有同樣的問題，別用錯函數(shù)：

$file->getClientMimeType(); //相當(dāng)于$_FILES['file']['type'];
$file->getMimeType(); //相當(dāng)于(new \finfo(\FILEINFO_MIME_TYPE))->file($_FILES['file']['tmp_name'])

說話得有依據(jù)，經(jīng)過反復(fù)的追Laravel的源碼：

底層對getClientMimeType()的實現(xiàn)：
是在vendor/symfony/http-foundation/Request.php的createFromGlobals()中，基于$_FILES做的封裝。
底層對getMimeType()的實現(xiàn)：
是在vendor/symfony/mime/FileinfoMimeTypeGuesser.php的guessMimeType()中，利用finfo的內(nèi)置PHP類實現(xiàn)的。

對Laravel任意文件上傳漏洞優(yōu)化意見（獲取臨時文件的真實類型）：

使用getMimeType函數(shù)。

整體修復(fù)意見：

先判斷文件后綴，在判斷臨時文件的mime類型屬性，不要根據(jù)請求頭判斷。

擴(kuò)展：

mime_content_type函數(shù)與(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path')的區(qū)別？

檢測文件mime類型，還有一個mime_content_type();

mime_content_type()獲取的mime類型，會與操作系統(tǒng)的mime類型有映射，意味著不同的系統(tǒng)可能存在一些小差別。
finfo類使用了 PHP 的 FileInfo 擴(kuò)展。FileInfo 擴(kuò)展利用了文件的特征簽名（或稱為魔術(shù)數(shù)字）來檢測文件的實際類型，并根據(jù)文件的內(nèi)容進(jìn)行精確的 MIME 類型推斷。

雖然兩者相差不大，但是推薦用(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path');

(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path')與finfo_file()的區(qū)別？

使用finfo_file()也可以獲取文件的mime類型。

$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $file['tmp_name']);
$mime = (new \finfo(FILEINFO_MIME_TYPE))->file($file['tmp_name']);

兩者底層對獲取mime類型的實現(xiàn)無差別，展示寫法不同。

什么是文件的魔術(shù)數(shù)字？

文件的魔術(shù)數(shù)字是文件頭部的一段特定的字節(jié)序列，用來描述文件的類型或格式，一般用16進(jìn)制表示。
文件的魔術(shù)數(shù)字一般包含一些特殊的字符和數(shù)字組成的固定長度的字節(jié)串，不同類型的文件具有不同的魔術(shù)數(shù)字。例如，PNG 圖像文件的魔術(shù)數(shù)字為 89 50 4E 47 0D 0A 1A 0A，而 JPG 圖像文件的魔術(shù)數(shù)字為 FF D8 FF E0 00 10 4A 46 49 46 00 01。
PHP獲取魔術(shù)數(shù)字實現(xiàn)方案：

$fileHandle = fopen($_FILES['file']['tmp_name'], 'rb');
$hex = '';
while (! feof($fileHandle)) {
    $byte = fread($fileHandle, 1);
    $hex .= sprintf("%02X ", ord($byte));
}
fclose($fileHandle);
echo $hex;

到此這篇關(guān)于PHP文件上傳安全：優(yōu)化代碼有效防范漏洞的文章就介紹到這了,更多相關(guān)PHP防止任意文件上傳漏洞內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: