PHPでファイルアップロードを安全に処理するために、コアはファイルタイプを確認(rèn)し、ファイルの名前を変更し、権限を制限することです。 1。Finfo_File（）を使用して実際のMIMEタイプを確認(rèn)し、Image/JPEGなどの特定のタイプのみが許可されます。 2。uniqid（）を使用してランダムファイル名を生成し、非webルートディレクトリに保存します。 3. PHP.iniおよびHTMLフォームを介してファイルサイズを制限し、ディレクトリ権限を0755に設(shè)定します。 4. Clamavを使用してマルウェアをスキャンしてセキュリティを強(qiáng)化します。これらの手順は、セキュリティの脆弱性を効果的に防止し、ファイルのアップロードプロセスが安全で信頼性が高いことを確認(rèn)します。

ファイルの処理をPHPで安全にアップロードすることは、ポイントAからBにファイルを取得することだけではありません。アップロードされたものがサイトを壊したり、セキュリティホールを開(kāi)いたりしないことを確認(rèn)することです。コアのアイデアはシンプルです。特にファイルの場(chǎng)合、ユーザーの入力を信頼しないでください。

段階的にアプローチする方法は次のとおりです。

ファイルタイプを適切に確認(rèn)してください

ファイル拡張機(jī)能を確認(rèn)するだけでは十分ではありません。攻撃者は、悪意のあるファイルの名前を変更して畫(huà)像やPDFのように見(jiàn)えることができます。代わりに、 mime_content_type()またはfinfo_file()を使用して、アップロードされたファイルの実際のMIMEタイプを確認(rèn)します。

例えば：

 $ finfo = finfo_open（fileinfo_mime_type）;
$ mime = finfo_file（$ finfo、$ _files ['filetoupload'] ['tmp_name']）;
finfo_close（$ finfo）;

'image/jpeg' 、 'image/png'などの特定のMIMEタイプのみを許可し、 .php 、 .exe 、または.shなどの実行可能なものは避けてください。

また、クライアント側(cè)のチェックだけに頼らないでください。常にサーバー側(cè)で検証してください。

アップロードされたファイルの名前を変更し、Webルートの外側(cè)に保存します

元のファイル名を使用するとリスクがあります。誰(shuí)かが.phpファイルをアップロードし、 photo.jpg.phpのような名前を付けることができます。サーバーが誤解された場(chǎng)合、それは実行される可能性があります。

それで：

• ランダムファイル名を生成します（ uniqid()またはハッシュを使用するなど）
• 元の名前とデータベースに保存された名前の間にマッピングを保持します
• パブリックWebディレクトリ外にファイルを保存します（ /var/uploads/ ints /public_html/uploads/ ）

これにより、誰(shuí)かが危険なファイルをアップロードできたとしても、URLを介して直接アクセスすることはできません。

ファイルのサイズを制限し、安全な権限を使用します

大きなファイルアップロードは、サーバーリソースを消費(fèi)したり、サービス拒否攻撃で使用することもできます。

PHPとHTMLフォームの両方で制限を設(shè)定します。

• php.iniで：

   upload_max_filesize = 2m  
  post_max_size = 8m

• あなたの形で：

   <入力型= "hidden" name = "max_file_size" value = "2097152">

また、アップロードディレクトリに適切な権限があることを確認(rèn)してください。通常、 0755で十分であり、Webサーバーユーザーが所有しています。あなたが何をしているのか本當(dāng)にわからない限り、 chmod 777を決して設(shè)定しないでください（そして、それでも安全ではありません）。

可能な場(chǎng)合はマルウェアをスキャンします

敏感なコンテンツや交通量の多いプラットフォームを扱っている場(chǎng)合は、Clamavなどのウイルス対策ツールを使用してアップロードされたファイルをスキャンすることを検討してください。特に、感染したドキュメントや埋め込みマルウェアを備えた畫(huà)像に対して、追加の保護(hù)層を追加します。

アップロード後にこれを?qū)g行できますが、ファイルを最終場(chǎng)所に移動(dòng)する前に実行できます。

 $ output = shell_exec（ 'clamscan -stdout'。ESCAPESHELLARG（$ _ files ['filetoupload'] ['tmp_name']））;
if（strpos（$ output、 '感染'）！== false）{
    //ファイルを拒否します
}

それは絶対確実ではありませんが、ごめんなさいよりも安全です。

それが基本的なセットアップです。ウイルスのスキャン、透け式畫(huà)像、サムネイルの生成など、アプリのニーズに応じてできることはもっとありますが、これらの手順は最も一般的な脆弱性をカバーしています。ファイルのアップロードは注意が必要ですが、いくつかの堅(jiān)実なチェックを使用すると、安全に処理できます。

以上がPHPでファイルアップロードを安全に処理するにはどうすればよいですか？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。