<html>
<body>
<form action="upload-file.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="Submit">
</form>
</body>
</html>
这是文件上传的php代码..我想使用这个从w3schools获得的php代码。你认为这是一个安全的文件上传代码吗?这是我发现的最简单的代码,它工作得非常好..我尝试过其他来源的几个代码,但我无法让它们工作......任何想法?
<?php
ini_set('display_errors', '0');
error_reporting(E_ALL | E_STRICT);
$allowedExts = array("jpg", "jpeg", "gif", "png");
$extension = end(explode(".", $_FILES['file']['name']));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 2097152)
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "Return Code: " . $_FILES["file"]["error"] . "<br>";
}
else
{
echo "Upload: " . $_FILES["file"]["name"] . "<br>";
echo "Type: " . $_FILES["file"]["type"] . "<br>";
echo "Size: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br>";
if (file_exists("images/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " already exists. ";
}
if($_FILES['file']['size'] > 2097152 ) //2mb
echo 'File over 2MB';
else
{
move_uploaded_file($_FILES["file"]["tmp_name"],
"images/" . $_FILES["file"]["name"]);
echo "Stored in: " . "images/" . $_FILES["file"]["name"];
}
}
}
else
{
echo "Invalid file";
}
?>
答案 0 :(得分:6)
总比没有好,但我不会说它是 安全 。也许 比没有任何东西更安全 。
有许多恶意软件会感染图像,虽然代码会阻止您上传带图片扩展名的文件以外的任何内容,但它无法删除恶意软件或检查上传的实际字节数。
理论上,可执行文件可以从myapp.exe重命名为myapp.jpg,以便在您的服务器上放置一个错误的文件,并且可以进行其他攻击以将其重命名并感染您的服务器或一些不警惕的客户端。
推荐阅读:https://www.owasp.org/index.php/Unrestricted_File_Upload
此类保护属于“使用白名单文件扩展程序”,在此特定OWASP页面上被视为“弱”。
此外,正如MrCode在上面的评论中所说,您可以尝试使用GD library阅读文件并检查图像尺寸。如果它返回0或无法读取图像,那么它不是图像文件。这是我链接的文章中未提及的附加安全层。这也是我在.NET中的实践,使用System.Drawing命名空间。感谢MrCode,因为我不是PHP开发人员,并且不知道如何在PHP中执行此操作。再次感谢!