Untuk mengendalikan muat naik fail dengan selamat di PHP, terasnya adalah untuk mengesahkan jenis fail, menamakan semula fail, dan menyekat kebenaran. 1. Gunakan finfo_file () untuk memeriksa jenis mime sebenar, dan hanya jenis tertentu seperti imej/jpeg dibenarkan; 2. Gunakan uniqid () untuk menghasilkan nama fail rawak dan simpannya dalam direktori akar bukan web; 3. Hadkan saiz fail melalui borang php.ini dan html, dan tetapkan kebenaran direktori ke 0755; 4. Gunakan Clamav untuk mengimbas malware untuk meningkatkan keselamatan. Langkah -langkah ini dengan berkesan menghalang kelemahan keselamatan dan memastikan bahawa proses muat naik fail adalah selamat dan boleh dipercayai.

Pengendalian fail memuat naik dengan selamat di PHP bukan sekadar mendapatkan fail dari titik A ke B - ini mengenai memastikan bahawa apa yang dimuat naik tidak memecahkan tapak anda atau membuka lubang keselamatan. Idea teras adalah mudah: tidak pernah mempercayai input pengguna, terutamanya apabila ia adalah fail.

Inilah cara untuk mendekati langkah demi langkah.

Periksa jenis fail dengan betul

Hanya menyemak sambungan fail tidak mencukupi - penyerang boleh menamakan semula fail berniat jahat untuk kelihatan seperti imej atau PDF. Sebaliknya, gunakan mime_content_type() atau finfo_file() untuk memeriksa jenis mime sebenar fail yang dimuat naik.

Contohnya:

 $ finfo = finfo_open (fileInfo_mime_type);
$ mime = finfo_file ($ finfo, $ _files ['fileToupload'] ['tmp_name']);
finfo_close ($ finfo);

Hanya membenarkan jenis mime tertentu seperti 'image/jpeg' , 'image/png' , dan sebagainya, dan elakkan apa -apa yang boleh dilaksanakan seperti .php , .exe , atau .sh .

Juga, jangan bergantung semata-mata pada cek sisi klien-sentiasa mengesahkan pada sisi pelayan.

Namakan semula fail yang dimuat naik dan simpannya di luar Root Web

Menggunakan nama fail asal boleh berisiko - seseorang mungkin memuat naik fail .php dan namakannya seperti photo.jpg.php . Jika pelayan anda salah faham, itu boleh dilaksanakan.

Jadi:

• Menjana nama fail rawak (seperti menggunakan uniqid() atau hash)
• Simpan pemetaan antara nama asal dan nama yang disimpan dalam pangkalan data anda
• Simpan fail di luar direktori web awam (misalnya, /var/uploads/ bukannya /public_html/uploads/ )

Dengan cara ini, walaupun seseorang berjaya memuat naik fail berbahaya, ia tidak boleh diakses secara langsung melalui URL.

Hadkan saiz fail dan gunakan kebenaran yang selamat

Muat naik fail besar boleh memakan sumber pelayan anda atau bahkan digunakan dalam serangan penafian perkhidmatan.

Tetapkan had dalam PHP dan dalam bentuk HTML anda:

• Dalam php.ini :

   upload_max_filesize = 2m  
  post_max_size = 8m

• Dalam bentuk anda:

   <input type = "hidden" name = "max_file_size" value = "2097152">

Juga, pastikan direktori muat naik mempunyai keizinan yang betul - biasanya 0755 sudah cukup, dan dimiliki oleh pengguna pelayan web. Jangan sekali -kali menetapkan chmod 777 melainkan jika anda benar -benar tahu apa yang anda lakukan (dan walaupun itu, ia tidak selamat).

Mengimbas malware jika mungkin

Jika anda berurusan dengan kandungan sensitif atau platform trafik tinggi, pertimbangkan untuk mengimbas fail yang dimuat naik dengan alat antivirus seperti Clamav. Ia menambah lapisan perlindungan tambahan, terutamanya terhadap dokumen atau imej yang dijangkiti dengan malware tertanam.

Anda boleh menjalankan ini selepas dimuat naik tetapi sebelum memindahkan fail ke lokasi terakhirnya.

 $ output = shell_exec ('clamscan --stdout'. escapeshellarg ($ _ files ['fileToupload'] ['tmp_name']));
jika (strpos ($ output, 'dijangkiti')! == palsu) {
    // menolak fail
}

Ia tidak mudah, tetapi lebih selamat daripada maaf.

Itulah persediaan asas. Lebih banyak lagi yang boleh anda lakukan bergantung kepada keperluan aplikasi anda - seperti pengimbasan virus, imej watermarking, atau menjana gambar kecil - tetapi langkah -langkah ini meliputi kelemahan yang paling biasa. Muat naik fail adalah rumit, tetapi dengan beberapa cek pepejal, mereka boleh dikendalikan dengan selamat.

Atas ialah kandungan terperinci Bagaimana anda boleh mengendalikan fail memuat naik dengan selamat di php?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!