PHP安全编程:文件上传攻击的防御
来源:互联网 发布:数据质量控制方案 编辑:程序博客网 时间:2024/06/03 21:00
有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data:
一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。
允许用户进行选择文件并上传的表单元素是很简单的:
该元素在各种浏览器中的外观表现形式各有不同。传统上,界面上包括一个标准的文本框及一个浏览按钮,以使用户能直接手工录入文件的路径或通过浏览选择。在Safari浏览器中只有浏览按钮。幸运的是,它们的作用与行为是相同的。
为了更好地演示文件上传机制,下面是一个允许用户上传附件的例子:
隐藏的表单变量MAX_FILE_SIZE告诉了浏览器最大允许上传的文件大小。与很多客户端限制相同,这一限制很容易被攻击者绕开,但它可以为合法用户提供向导。在服务器上进行该限制才是可靠的。
PHP的配置变量中,upload_max_filesize控制最大允许上传的文件大小。同时post_max_size(POST表单的最大提交数据的大小)也能潜在地进行控制,因为文件是通过表单数据进行上传的。
接收程序upload.php显示了超级全局数组$_FILES的内容:
为了理解上传的过程,我们使用一个名为author.txt的文件进行测试,下面是它的内容:
当你上传该文件到upload.php程序时,你可以在浏览器中看到类似下面的输出:
虽然从上面可以看出PHP实际在超级全局数组$_FILES中提供的内容,但是它无法给出表单数据的原始信息。作为一个关注安全的开发者,需要识别输入以知道浏览器实际发送了什么,看一下下面的HTTP请求信息是很有必要的:
虽然你没有必要理解请求的格式,但是你要能识别出文件及相关的元数据。用户只提供了名称与类型,因此tmp_name,error及size都是PHP所提供的。
由于PHP在文件系统的临时文件区保存上传的文件(本例中是/tmp/phpShfltt),所以通常进行的操作是把它移到其它地方进行保存及读取到内存。如果你不对tmp_name作检查以确保它是一个上传的文件(而不是/etc/passwd之类的东西),存在一个理论上的风险。之所以叫理论上的风险,是因为没有一种已知的攻击手段允许攻击者去修改tmp_name的值。但是,没有攻击手段并不意味着你不需要做一些简单的安全措施。新的攻击手段每天在出现,而简单的一个步骤能保护你的系统。
PHP提供了两个方便的函数以减轻这些理论上的风险:is_uploaded_file( ) and move_uploaded_file( )。如果你需要确保tmp_name中的文件是一个上传的文件,你可以用is_uploaded_file( ):
如果你希望只把上传的文件移到一个固定位置,你可以使用move_uploaded_file():
最后你可以用 filesize()来校验文件的大小:
这些安全措施的目的是加上一层额外的安全保护层。最佳的方法是永远尽可能少地去信任。
- <form action="upload.php" method="POST" enctype="multipart/form-data">
一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。
允许用户进行选择文件并上传的表单元素是很简单的:
- <input type="file" name="attachment" />
该元素在各种浏览器中的外观表现形式各有不同。传统上,界面上包括一个标准的文本框及一个浏览按钮,以使用户能直接手工录入文件的路径或通过浏览选择。在Safari浏览器中只有浏览按钮。幸运的是,它们的作用与行为是相同的。
为了更好地演示文件上传机制,下面是一个允许用户上传附件的例子:
- <form action="upload.php" method="POST" enctype="multipart/form-data"> <p>Please choose a file to upload:<br> <input type="hidden" name="MAX_FILE_SIZE" value="1024" /><br> <input type="file" name="attachment" /><br /><br> <input type="submit" value="Upload Attachment" /></p><br></form><br>
隐藏的表单变量MAX_FILE_SIZE告诉了浏览器最大允许上传的文件大小。与很多客户端限制相同,这一限制很容易被攻击者绕开,但它可以为合法用户提供向导。在服务器上进行该限制才是可靠的。
PHP的配置变量中,upload_max_filesize控制最大允许上传的文件大小。同时post_max_size(POST表单的最大提交数据的大小)也能潜在地进行控制,因为文件是通过表单数据进行上传的。
接收程序upload.php显示了超级全局数组$_FILES的内容:
- <?php
- header('Content-Type: text/plain');
- print_r($_FILES);
- ?>
为了理解上传的过程,我们使用一个名为author.txt的文件进行测试,下面是它的内容:
- Chris Shiflett <a href="http://shiflett.org/" target="_blank">http://shiflett.org/</a>
当你上传该文件到upload.php程序时,你可以在浏览器中看到类似下面的输出:
- Array
- (
- [attachment] => Array
- (
- [name] => author.txt
- [type] => text/plain
- [tmp_name] => /tmp/phpShfltt
- [error] => 0
- [size] => 36
- )
- )
虽然从上面可以看出PHP实际在超级全局数组$_FILES中提供的内容,但是它无法给出表单数据的原始信息。作为一个关注安全的开发者,需要识别输入以知道浏览器实际发送了什么,看一下下面的HTTP请求信息是很有必要的:
- <br>POST /upload.php HTTP/1.1<br>Host: example.org<br>Content-Type: multipart/form-data; boundary=----------12345<br>Content-Length: 245<br><br>----------12345<br>Content-Disposition: form-data; name="attachment"; filename="author.txt"<br>Content-Type: text/plain<br>Chris Shiflett <a href="http://shiflett.org/" target="_blank">http://shiflett.org/</a><br>----------12345<br>Content-Disposition: form-data; name="MAX_FILE_SIZE"<br><br>1024<br>----------12345--<br>
虽然你没有必要理解请求的格式,但是你要能识别出文件及相关的元数据。用户只提供了名称与类型,因此tmp_name,error及size都是PHP所提供的。
由于PHP在文件系统的临时文件区保存上传的文件(本例中是/tmp/phpShfltt),所以通常进行的操作是把它移到其它地方进行保存及读取到内存。如果你不对tmp_name作检查以确保它是一个上传的文件(而不是/etc/passwd之类的东西),存在一个理论上的风险。之所以叫理论上的风险,是因为没有一种已知的攻击手段允许攻击者去修改tmp_name的值。但是,没有攻击手段并不意味着你不需要做一些简单的安全措施。新的攻击手段每天在出现,而简单的一个步骤能保护你的系统。
PHP提供了两个方便的函数以减轻这些理论上的风险:is_uploaded_file( ) and move_uploaded_file( )。如果你需要确保tmp_name中的文件是一个上传的文件,你可以用is_uploaded_file( ):
- <?php
- $filename = $_FILES['attachment']['tmp_name'];
- if (is_uploaded_file($filename))
- {
- /* $_FILES['attachment']['tmp_name'] is an uploaded file. */
- }
- ?>
如果你希望只把上传的文件移到一个固定位置,你可以使用move_uploaded_file():
- <?php
- $old_filename = $_FILES['attachment']['tmp_name'];
- $new_filename = '/path/to/attachment.txt';
- if (move_uploaded_file($old_filename, $new_filename))
- {
- /* $old_filename is an uploaded file, and the move was successful. */
- }
- ?>
最后你可以用 filesize()来校验文件的大小:
- <?php
- $filename = $_FILES['attachment']['tmp_name'];
- if (is_uploaded_file($filename))
- {
- $size = filesize($filename);
- }
- ?>
这些安全措施的目的是加上一层额外的安全保护层。最佳的方法是永远尽可能少地去信任。
阅读全文
0 0
- PHP安全编程之文件上传攻击的防御
- PHP安全编程:文件上传攻击的防御
- PHP安全编程:文件上传攻击的防御 加上一层额外的安全保护层
- PHP安全编程之跨站脚本攻击的防御
- PHP安全编程:跨站脚本攻击的防御
- PHP安全编程:session劫持的防御
- linux下面PHP木马攻击的安全防御
- PHP安全编程之文件包含的代码注入攻击
- PHP安全编程:文件包含的代码注入攻击
- 攻防:文件上传漏洞的攻击与防御
- PHP安全编程:session劫持的防御session 数据暴露
- PHP安全编程之session劫持的防御
- PHP安全编程:跨站请求伪造CSRF的防御
- 文件上传漏洞是什么?要怎样防御文件上传的漏洞攻击?
- 安全防护——PHP木马的攻击的防御之道
- 防御PHP木马攻击的技巧
- PHP木马程序攻击的防御之道
- PHP木马攻击的防御之道
- Spark的那些外部框架
- PAT程序设计考题——甲级1045 (最长不下降子序列) C++实现
- 《云知声黄伟:未来谁能成为 AI 领域的 BAT ?》笔记
- 第二章 用高级特性来增强你的blog
- NodeJs学习(3)WebSocket
- PHP安全编程:文件上传攻击的防御
- php 导入、导出txt
- 工作中float引发的问题
- javaweb学习总结——Servlet开发笔记
- 《白宫发布《人工智能、自动化和经济》报告,敦促特朗普政府确保美国 AI 领先地位》笔记
- 世界上第一位程序员竟然是个妹子
- powershell:Join-Path连接多级子目录的方法
- 设计模式之观察者
- Python开发数据清洗