完整安全图像上传脚本

时间:2016-07-21 16:15:18

标签: php image security file-upload upload

我不知道这是否会发生,但我会尝试。

过去一小时,我研究了图像上传安全性。我了解到有很多功能可以测试上传。

在我的项目中,我需要保证上传的图像。也可能有相当大的数量,并且可能需要大量带宽,因此购买API不是一种选择。

所以我决定获得一个完整的PHP脚本,用于真正的安全图像上传。我也认为这对许多人有帮助,因为找不到真正安全的人是不可能的。但我不是php的专家,所以添加一些功能对我来说真的很头疼,所以我会要求这个社区帮助创建一个真正安全图像上传的完整脚本。

关于它的非常好的主题在这里(但是,他们只是告诉我们需要做什么,但不是如何做到这一点,而且正如我所说我不是PHP的高手,所以我无法这一切都是我自己): PHP image upload security check list https://security.stackexchange.com/questions/32852/risks-of-a-php-image-upload-form

总之,他们告诉我这是安全图片上传所需要的(我将从上面的页面引用):

  
      
  • 使用.httaccess禁止PHP在上传文件夹中运行。
  •   
  • 如果文件名包含字符串“php”,则不允许上传。
  •   
  • 仅允许扩展程序:jpg,jpeg,gif和png。
  •   
  • 仅允许图像文件类型。
  •   
  • 禁止使用两种文件类型的图像。
  •   
  • 更改图像名称。上传到子目录而不是根目录。
  •   
     

此外:

     
      
  • 使用GD(或Imagick)重新处理图像并保存处理后的图像。所有其他人对黑客来说都很有趣“
  •   
  • 正如rr所指出的那样,使用move_uploaded_file()进行任何上传“
  •   
  • 顺便说一句,您希望对上传文件夹的限制非常严格。那些地方是许多利用的黑暗角落之一   发生。这适用于任何类型的上传和任何编程   语言/服务器。检查
      https://www.owasp.org/index.php/Unrestricted_File_Upload
  •   
  • 第1级:检查扩展名(扩展名文件以<)结束。
  •   
  • 第2级:检查MIME类型($ file_info = getimagesize($ _ FILES ['image_file']; $ file_mime = $ file_info ['mime'];)
  •   
  • 级别3:读取前100个字节并检查它们是否具有以下范围内的任何字节:ASCII 0-8,12-31(十进制)。
  •   
  • 等级4:检查标题中的幻数(文件的前10-20个字节)。您可以从中找到一些文件头字节   在这里:
      http://en.wikipedia.org/wiki/Magic_number_%28programming%29#Examples
  •   
  • 您可能还想在$ _FILES ['my_files'] ['tmp_name']上运行“is_uploaded_file”。见
      http://php.net/manual/en/function.is-uploaded-file.php
  •   

这是它的一个重要部分,但仍然不是全部。 (如果您知道更多可能有助于上传更安全的内容,请分享。)

这就是我们现在所做的事情

  • 主要PHP:

    function uploadFile ($file_field = null, $check_image = false, $random_name = false) {
    
    //Config Section    
    //Set file upload path
    $path = 'uploads/'; //with trailing slash
    //Set max file size in bytes
    $max_size = 1000000;
    //Set default file extension whitelist
    $whitelist_ext = array('jpeg','jpg','png','gif');
    //Set default file type whitelist
    $whitelist_type = array('image/jpeg', 'image/jpg', 'image/png','image/gif');
    
    //The Validation
    // Create an array to hold any output
    $out = array('error'=>null);
    
    if (!$file_field) {
      $out['error'][] = "Please specify a valid form field name";           
    }
    
    if (!$path) {
      $out['error'][] = "Please specify a valid upload path";               
    }
    
    if (count($out['error'])>0) {
      return $out;
    }
    
    //Make sure that there is a file
    if((!empty($_FILES[$file_field])) && ($_FILES[$file_field]['error'] == 0)) {
    
    // Get filename
    $file_info = pathinfo($_FILES[$file_field]['name']);
    $name = $file_info['filename'];
    $ext = $file_info['extension'];
    
    //Check file has the right extension           
    if (!in_array($ext, $whitelist_ext)) {
      $out['error'][] = "Invalid file Extension";
    }
    
    //Check that the file is of the right type
    if (!in_array($_FILES[$file_field]["type"], $whitelist_type)) {
      $out['error'][] = "Invalid file Type";
    }
    
    //Check that the file is not too big
    if ($_FILES[$file_field]["size"] > $max_size) {
      $out['error'][] = "File is too big";
    }
    
    //If $check image is set as true
    if ($check_image) {
      if (!getimagesize($_FILES[$file_field]['tmp_name'])) {
        $out['error'][] = "Uploaded file is not a valid image";
      }
    }
    
    //Create full filename including path
    if ($random_name) {
      // Generate random filename
      $tmp = str_replace(array('.',' '), array('',''), microtime());
    
      if (!$tmp || $tmp == '') {
        $out['error'][] = "File must have a name";
      }     
      $newname = $tmp.'.'.$ext;                                
    } else {
        $newname = $name.'.'.$ext;
    }
    
    //Check if file already exists on server
    if (file_exists($path.$newname)) {
      $out['error'][] = "A file with this name already exists";
    }
    
    if (count($out['error'])>0) {
      //The file has not correctly validated
      return $out;
    } 
    
    if (move_uploaded_file($_FILES[$file_field]['tmp_name'], $path.$newname)) {
      //Success
      $out['filepath'] = $path;
      $out['filename'] = $newname;
      return $out;
    } else {
      $out['error'][] = "Server Error!";
    }
    
     } else {
      $out['error'][] = "No file uploaded";
      return $out;
     }      
    }
    
    
    if (isset($_POST['submit'])) {
     $file = uploadFile('file', true, true);
     if (is_array($file['error'])) {
      $message = '';
      foreach ($file['error'] as $msg) {
      $message .= '<p>'.$msg.'</p>';    
     }
    } else {
     $message = "File uploaded successfully".$newname;
    }
     echo $message;
    }
    
  • 表格:

    <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" enctype="multipart/form-data" name="form1" id="form1">
    <input name="file" type="file" id="imagee" />
    <input name="submit" type="submit" value="Upload" />
    </form>
    

所以,我要问的是通过发布代码片段来帮助我(以及其他所有人)使这个图片上传脚本变得超级安全。 或者通过共享/创建包含所有片段的完整脚本。

3 个答案:

答案 0 :(得分:74)

当您开始处理安全图像上传脚本时,需要考虑很多事情。现在,我并没有接近这方面的专家,但我曾被要求在过去开发一次。我将完成整个过程,因为你可以跟进。为此,我将从处理文件的非常基本的html表单和php脚本开始。

HTML表单:

<form name="upload" action="upload.php" method="POST" enctype="multipart/form-data">
    Select image to upload: <input type="file" name="image">
    <input type="submit" name="upload" value="upload">
</form>

PHP文件:

<?php
$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['image']['name']);

if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
    echo "Image succesfully uploaded.";
} else {
    echo "Image uploading failed.";
}
?> 

第一个问题:文件类型
攻击者不必使用您网站上的表单将文件上传到您的服务器。 POST请求可以通过多种方式拦截。想想浏览器插件,代理,Perl脚本。无论我们如何努力,我们都无法阻止攻击者尝试上传他不应该做的事情。所以我们所有的安全都必须在服务器端完成。

第一个问题是文件类型。在上面的脚本中,攻击者可以上传他想要的任何内容,例如php脚本,并按照直接链接执行它。因此,为了防止这种情况,我们实施内容类型验证

<?php
if($_FILES['image']['type'] != "image/png") {
    echo "Only PNG images are allowed!";
    exit;
}

$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['image']['name']);

if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
    echo "Image succesfully uploaded.";
} else {
    echo "Image uploading failed.";
}
?>

不幸的是,这还不够。正如我之前提到的,攻击者可以完全控制请求。没有什么能阻止他/她修改请求标题,只需将内容类型更改为&#34; image / png&#34;。因此,不仅仅依赖于Content-type标头,最好还要验证上传文件的内容。这里的php GD库就派上用场了。使用getimagesize(),我们将使用GD库处理图像。如果它不是图像,则会失败,因此整个上传将失败:

<?php
$verifyimg = getimagesize($_FILES['image']['tmp_name']);

if($verifyimg['mime'] != 'image/png') {
    echo "Only PNG images are allowed!";
    exit;
}

$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['image']['name']);

if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
    echo "Image succesfully uploaded.";
} else {
    echo "Image uploading failed.";
}
?>

我们现在还没有。大多数图像文件类型允许添加文本注释。同样,没有什么能阻止攻击者添加一些PHP代码作为评论。 GD库将此评估为完全有效的图像。 PHP解释器将完全忽略该图像并在注释中运行php代码。确实,这取决于php配置哪些文件扩展名由php解释器处理,哪些没有,但由于有许多开发人员由于使用VPS而无法控制此配置,我们我们不能假设php解释器不会处理图像。这就是为什么添加文件扩展名白名单也不够安全。

解决方法是将图像存储在攻击者无法直接访问文件的位置。这可能位于文档根目录之外,也可能位于受.htaccess文件保护的目录中:

order deny,allow
deny from all
allow from 127.0.0.1

编辑:在与其他一些PHP程序员交谈之后,我强烈建议使用文档根目录之外的文件夹,因为htaccess并不总是可靠的。

我们仍然需要用户或任何其他访问者才能查看图像。所以我们将使用php为它们检索图像:

<?php
$uploaddir = 'uploads/';
$name = $_GET['name']; // Assuming the file name is in the URL for this example
readfile($uploaddir.$name);
?>

第二个问题:本地文件包含攻击
虽然我们的脚本现在相当安全,但我们不能假设服务器没有其他漏洞。常见的安全漏洞称为本地文件包含。为了解释这一点,我需要添加一个示例代码:

<?php
if(isset($_COOKIE['lang'])) {
   $lang = $_COOKIE['lang'];
} elseif (isset($_GET['lang'])) {
   $lang = $_GET['lang'];
} else {
   $lang = 'english';
}

include("language/$lang.php");
?>

在这个例子中,我们谈论的是一个多语言网站。网站语言不是被认为是“高风险”的东西。信息。我们尝试通过cookie或GET请求获取访问者首选语言,并根据它包含所需的文件。现在考虑一下当攻击者输入以下网址时会发生什么:

www.example.com/index.php?lang = .. /上传/ my_evil_image.jpg

PHP将包含攻击者上传的文件,绕过他无法直接访问该文件的事实,我们将回到第一方。

此问题的解决方案是确保用户不知道服务器上的文件名。相反,我们将使用数据库更改文件名甚至扩展名以跟踪它:

CREATE TABLE `uploads` (
    `id` INT(11) NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(64) NOT NULL,
    `original_name` VARCHAR(64) NOT NULL,
    `mime_type` VARCHAR(20) NOT NULL,
    PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;


<?php

if(!empty($_POST['upload']) && !empty($_FILES['image']) && $_FILES['image']['error'] == 0)) {

    $uploaddir = 'uploads/';

    /* Generates random filename and extension */
    function tempnam_sfx($path, $suffix){
        do {
            $file = $path."/".mt_rand().$suffix;
            $fp = @fopen($file, 'x');
        }
        while(!$fp);

        fclose($fp);
        return $file;
    }

    /* Process image with GD library */
    $verifyimg = getimagesize($_FILES['image']['tmp_name']);

    /* Make sure the MIME type is an image */
    $pattern = "#^(image/)[^\s\n<]+$#i";

    if(!preg_match($pattern, $verifyimg['mime']){
        die("Only image files are allowed!");
    }

    /* Rename both the image and the extension */
    $uploadfile = tempnam_sfx($uploaddir, ".tmp");

    /* Upload the file to a secure directory with the new name and extension */
    if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {

        /* Setup a database connection with PDO */
        $dbhost = "localhost";
        $dbuser = "";
        $dbpass = "";
        $dbname = "";

        // Set DSN
        $dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;

        // Set options
        $options = array(
            PDO::ATTR_PERSISTENT    => true,
            PDO::ATTR_ERRMODE       => PDO::ERRMODE_EXCEPTION
        );

        try {
            $db = new PDO($dsn, $dbuser, $dbpass, $options);
        }
        catch(PDOException $e){
            die("Error!: " . $e->getMessage());
        }

        /* Setup query */
        $query = 'INSERT INTO uploads (name, original_name, mime_type) VALUES (:name, :oriname, :mime)';

        /* Prepare query */
        $db->prepare($query);

        /* Bind parameters */
        $db->bindParam(':name', basename($uploadfile));
        $db->bindParam(':oriname', basename($_FILES['image']['name']));
        $db->bindParam(':mime', $_FILES['image']['type']);

        /* Execute query */
        try {
            $db->execute();
        }
        catch(PDOException $e){
            // Remove the uploaded file
            unlink($uploadfile);

            die("Error!: " . $e->getMessage());
        }
    } else {
        die("Image upload failed!");
    }
}
?>

所以现在我们已经完成了以下工作:

  • 我们创建了一个安全的地方来保存图片
  • 我们已使用GD库处理图像
  • 我们已检查过图片MIME类型
  • 我们已重命名文件名并更改了扩展程序
  • 我们已在数据库中保存了新的和原始的文件名
  • 我们还在数据库中保存了MIME类型

我们仍然需要能够向访问者显示图像。我们只需使用数据库的id列来执行此操作:

<?php

$uploaddir = 'uploads/';
$id = 1;

/* Setup a database connection with PDO */
$dbhost = "localhost";
$dbuser = "";
$dbpass = "";
$dbname = "";

// Set DSN
$dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;

// Set options
$options = array(
    PDO::ATTR_PERSISTENT    => true,
    PDO::ATTR_ERRMODE       => PDO::ERRMODE_EXCEPTION
);

try {
    $db = new PDO($dsn, $dbuser, $dbpass, $options);
}
catch(PDOException $e){
    die("Error!: " . $e->getMessage());
}

/* Setup query */
$query = 'SELECT name, original_name, mime_type FROM uploads WHERE id=:id';

/* Prepare query */
$db->prepare($query);

/* Bind parameters */
$db->bindParam(':id', $id);

/* Execute query */
try {
    $db->execute();
    $result = $db->fetch(PDO::FETCH_ASSOC);
}
catch(PDOException $e){
    die("Error!: " . $e->getMessage());
}

/* Get the original filename */
$newfile = $result['original_name'];

/* Send headers and file to visitor */
header('Content-Description: File Transfer');
header('Content-Disposition: attachment; filename='.basename($newfile));
header('Expires: 0');
header('Cache-Control: must-revalidate');
header('Pragma: public');
header('Content-Length: ' . filesize($uploaddir.$result['name']));
header("Content-Type: " . $result['mime_type']);
readfile($uploaddir.$result['name']);
?>

由于这个脚本,访问者将能够查看图像或使用其原始文件名下载它。但是,(s)他无法直接访问您服务器上的文件,也无法欺骗您的服务器访问他/她的文件,因为他无法知道哪个文件它是。 (S)他不能强行上传目录,因为它根本不允许任何人访问除服务器本身以外的目录。

结束了我的安全图片上传脚本。

我想补充一点,我没有在此脚本中包含最大文件大小,但您应该可以轻松地自行完成。

ImageUpload类
由于此脚本的高要求,我写了一个ImageUpload类,这样可以让所有人更安全地处理网站访问者上传的图像。该类可以同时处理单个和多个文件,并为您提供显示,下载和删除图像等附加功能。

由于代码只是大到这里发布,你可以在这里从MEGA下载这个类:

Download ImageUpload Class

请阅读README.txt并按照说明操作。

开源
Image Secure类项目现在也可以在我的Github个人资料中找到。这样,其他人(你?)可以为项目做出贡献,并使这个人成为一个很棒的图书馆。 (目前有问题。请使用上面的下载,直到修复)。

答案 1 :(得分:4)

好吧,用PHP上传文件太简单安全了。 我建议学习:

要在PHP中上传文件,您有两种方法,PUT和POST(可能更多......)。 要在HTML上使用POST方法,需要在FORM上启用enctype,如下所示:

<form action="" method="post" enctype="multipart/form-data">
  <input type="file" name="file">
  <input type="submit" value="Upload">
</form>

然后,在您的PHP中,您需要抓住上传文件$_FILES,如下所示:

$_FILES['file']

然后你需要使用move_uploaded_file从temp(&#34; upload&#34;)移动:

if (move_uploaded_file($_FILES['file']['tmp_name'], YOU_PATH)) {
   // ...
}

在上传文件之后,您需要检查扩展程序,最好和更好的方法是使用pathinfo,如下所示:

$extension = pathinfo($_FILES['file']['tmp_name'],PATHINFO_EXTENSION);

但扩展程序并不安全,因为您可以上传扩展名为.jpg但带有mimetype text/php的文件,这是一个后门程序。 所以,我建议用finfo_open检查真正的mimetype,如下所示:

$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $_FILES['file']['tmp_name']);
  

而且,不要使用$_FILES['file']['type'],因为有时和   根据浏览器和客户端操作系统,您可能会收到   application/octet-stream,这个mimetype no是真实的   你上传文件的mimetype。

我认为你可以通过安全上传文件。

对不起我的英文,再见!

答案 2 :(得分:0)

这是另一个提示。不要依赖 ['type'] 元素,它太不可靠了。而是检查文件头本身以查看文件类型实际上是什么。像这样:

 <?php


 // open the file and check header

 $tempfile = $FILES['tmp_name'];
                  
 if (!($handle = fopen($tempfile, 'rb')))
 {
   echo 'open file failed';
   fclose($handle);
   exit;

 }else{
  
        $hdr = fread($handle, 12); //should grab first 12 of header
        fclose($handle);                                     
    
 
        //now check the header results
        $subheaderpre = substr($hdr, 0, 12);
        $subheader = trim($subheaderpre);
     
        //get hex value to check png 
        $getbytes = substr($subheader, 0, 8);
        $hxval = bin2hex($getbytes);
     
     
         if ((substr($subheader, 0, 4) == "\xff\xd8\xff\xe0") && (substr($subheader, 6, 5) == "JFIF\x00"))
         {

           //passed jpg test
 
         }elseif($hxval == "89504e470d0a1a" || substr($subheader, 0, 8) == "\x89PNG\x0d\x0a\x1a\x0a")
           {

              //passed png test 
                
           }else{
              
                 //fail both 

                 echo 'Sorry but image failed to validate, try another image';
                 exit;                            
                      
                 }//close else elseif else
              
    }//close else ! $handle