我启动并运行了一个使用文件上传的网站。除了其中一个用户外,一切正常。他们使用IE8将文件从SharePoint服务器上传到网站。当我在PHP中查看$ _FILES变量时,'name'键如下所示:
somefilename[1]
而不是
somefilename.pdf
然后阻止上传,因为不允许扩展名。有没有人曾经处理过这个问题?它看起来像临时名称或隐藏文件扩展名。
编辑:
有些人请求$ _FILES变量:
[Filedata] => Array
(
[name] => Algemene%20Voorwaarden%20Corporate%20Services%202011[2]
[type] => application/octet-stream
[tmp_name] => /tmp/phps19zye
[error] => 0
[size] => 148021
)
这应该是PDF文件。我需要扩展,不仅出于安全原因,[type]将更适合于此,而且还用于演示和功能。我需要为文件类型显示正确的图标,并分开图像进行处理。
HTML表单只是一个基本的测试表单:
<!DOCTYPE html>
<html>
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<form action="uploadtest3.php" method="post" enctype="multipart/form-data">
<input type="file" name="file_upload" id="file_upload" />
<br /><input type="submit" value="Uploaden" />
</form>
</body>
</html>
PHP文件如下:
$targetFolder = '/uploadtests/uploads3';
if (!empty($_FILES)) {
$tempFile = $_FILES['file_upload']['tmp_name'];
$targetPath = $_SERVER['DOCUMENT_ROOT'] . $targetFolder;
$targetFile = $targetPath . $_FILES['file_upload']['name'];
move_uploaded_file($tempFile,$targetFile);
echo "OK";
}
答案 0 :(得分:1)
somefilename似乎是一个数组。您的用户是否选择了多个要上传的文件?您需要限制允许上载的文件数,或捕获数组并正确处理它。您还可以确保将Sharepoint设置为allow multiple file uploads。
另外,我找到了有关IE8 passes the file上传到服务器的方式的信息。来源文章指出:
此外,“上传文件时包含本地目录路径”URLAction已设置为“禁用”Internet区域。此更改可防止潜在敏感的本地文件系统信息泄漏到Internet。 例如,Internet Explorer 8现在只提交文件名image.png。
,而不是提交完整路径C:\ users \ ericlaw \ documents \ secret \ image.png。
这意味着,如果您的代码(或Sharepoint)希望通过PATH_SEP从文件名界定文件夹结构,那么使用IE8显然会失败。
答案 1 :(得分:1)
之前已经看过这个问题,但不确定是什么原因造成的。我甚至不想将其称为错误,因为some files extension can be intentionally removed or altered用于恶意目的。
最多important thing is validating file properly,如果文件有扩展名,则担心更少
原因:
File Extension Can easily be faked如果您的应用仅依赖文件扩展名进行验证,那将会很糟糕
$_FILES ['file_upload']['type']会为所有没有扩展名的文件返回application/octet-stream,因此它也不是验证选项
由于它是浏览器问题,因此它是Client Related Problem,所以你没有任何控制权。如果您能够管理这个,那肯定会增加用户体验
解决方案非常简单。您只需使用FILEINFO验证文件,并修复上传文件中的任何扩展程序问题。
您还需要根据其Mime类型验证所有上传的文件...并删除任何无效文件。
概念证明
$allowedTypes = array (
"pdf" => "application/pdf"
);
$pathFinal = "final";
$pathTemp = "temp";
try {
if (! empty ( $_FILES )) {
$tempFile = $_FILES ['file_upload'] ['tmp_name'];
$fileName = $_FILES ['file_upload'] ['name'];
$destinationTemp = $pathTemp . DIRECTORY_SEPARATOR . $fileName;
$destinationFinal = $pathFinal . DIRECTORY_SEPARATOR . $fileName;
/**
* Move To tempary File
*/
move_uploaded_file ( $tempFile, $destinationTemp );
$fileMime = mimeInfo ( $destinationTemp );
$key = array_search ( $fileMime, $allowedTypes );
/**
* Validate Mime Type
*/
if (empty ( $key )) {
unlink ( $destinationTemp );
throw new Exception ( "File Type not Supported" );
}
/**
* Fix Extention Issues
*/
$ext = pathinfo ( $destinationTemp, PATHINFO_EXTENSION );
if (empty ( $ext )) {
$destinationFinal .= "." . $key;
}
/**
* Transfer File to Original Location
*/
copy ( $destinationTemp, $destinationFinal );
unlink ( $destinationTemp );
echo "OK";
}
} catch ( Exception $e ) {
echo "ERROR :", $e->getMessage ();
}
使用的功能
function mimeInfo($file) {
return finfo_file ( finfo_open ( FILEINFO_MIME_TYPE ), $file );
}
答案 2 :(得分:0)
您应该检查文件类型,不是通过扩展名,而是通过Mime类型。使用变量$_FILES["uploaded_file"]["type"]获取Mime类型。
这样用户就不会用奇怪的ASCII字符篡改扩展名,你知道什么文件是可靠的。