檔案上傳攻擊

#? 有時(shí)在除了標(biāo)準(zhǔn)的表單資料外，你還需要讓使用者進(jìn)行檔案上傳。由於檔案在表單中傳送時(shí)與其它的表單資料不同，你必須指定一個(gè)特別的編碼方式multipart/form-data：

CODE:

?

<form action="upload.php" method="POST"
enctype="multipart/form-data">

一個(gè)同時(shí)有普通表單資料和檔案的表單是一個(gè)特殊的格式，而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。

? 允許使用者進(jìn)行選擇檔案並上傳的表單元素是很簡單的：

CODE:

?

<input type="file" name="attachment" />

此元素在各種瀏覽器中的外觀表現(xiàn)形式各有不同。傳統(tǒng)上，介面上包括一個(gè)標(biāo)準(zhǔn)的文字方塊及一個(gè)瀏覽按鈕，以使用戶能夠直接手動(dòng)輸入文件的路徑或透過瀏覽選擇。在Safari瀏覽器中只有瀏覽按鈕。幸運(yùn)的是，它們的作用與行為是相同的。

? 為了更好地示範(fàn)檔案上傳機(jī)制，以下是一個(gè)允許使用者上傳附件的範(fàn)例：

CODE:

?

<form action="upload.php" method="POST"
enctype="multipart/form-data">
  
Please choose a file to upload:
  
  

  
  

#隱藏的表單變數(shù)MAX_FILE_SIZE告訴了瀏覽器最大允許上傳的檔案大小。與許多客戶端限制相同，此限制很容易被攻擊者繞開，但它可以為合法用戶提供嚮導(dǎo)。在伺服器上進(jìn)行該限制才是可靠的。

? PHP的設(shè)定變數(shù)中，upload_max_filesize控制最大允許上傳的檔案大小。同時(shí)post_max_size（POST表單的最大提交資料的大小）也能潛在地進(jìn)行控制，因?yàn)闄n案是透過表單資料上傳的。

? 接收程式upload.php顯示了超級(jí)全域陣列$_FILES的內(nèi)容：

CODE:

#?

<?php
 
  header(&#39;Content-Type: text/plain&#39;);
  print_r($_FILES);
 
  ?>

#為了理解上傳的過程，我們使用一個(gè)名為author.txt的檔案進(jìn)行測(cè)試，以下是它的內(nèi)容：

CODE:

#?

  Chris Shiflett
  http://miracleart.cn/

##當(dāng)你上傳該檔案到upload.php程式時(shí)，你可以在瀏覽器中看到類似下面的輸出：

CODE:

?

###

 Array
  (
      [attachment] => Array
          (
              [name] => author.txt
              [type] => text/plain
              [tmp_name] => /tmp/phpShfltt
              [error] => 0
              [size] => 36
          )
 
  )

######################?雖然從上面可以看出PHP實(shí)際上在超級(jí)全局?jǐn)?shù)組$_FILES中提供的內(nèi)容，但是它無法給出表單資料的原始資訊。作為一個(gè)專注於安全的開發(fā)者，需要識(shí)別輸入以知道瀏覽器實(shí)際上發(fā)送了什麼，看看下面的HTTP請(qǐng)求資訊是很有必要的：############CODE:### #########?######

POST /upload.php HTTP/1.1
  Host: example.org
  Content-Type: multipart/form-data;
boundary=----------12345
  Content-Length: 245
 
  ----------12345
  Content-Disposition: form-data; name="attachment";
filename="author.txt"
  Content-Type: text/plain
 
  Chris Shiflett
  http://miracleart.cn/
 
  ----------12345
  Content-Disposition: form-data;
name="MAX_FILE_SIZE"
 
  1024
  ----------12345--

######################雖然你沒有必要理解請(qǐng)求的格式，但是你要能識(shí)別出文件及相關(guān)的元資料。使用者只提供了名稱與類型，因此tmp_name，error及size都是PHP所提供的。 ############? 由於PHP在檔案系統(tǒng)的臨時(shí)檔案區(qū)保存上傳的檔案（本例中是/tmp/phpShfltt），因此通常進(jìn)行的操作是把它移到其它地方進(jìn)行保存及讀取到記憶體。如果你不對(duì)tmp_name作檢查以確保它是一個(gè)上傳的檔案（而不是/etc/passwd之類的東西），存在一個(gè)理論上的風(fēng)險(xiǎn)。之所以叫理論上的風(fēng)險(xiǎn)，是因?yàn)闆]有已知的攻擊手段允許攻擊者去修改tmp_name的值。但是，沒有攻擊手段並不意味著你不需要做一些簡單的安全措施。新的攻擊手段每天都在出現(xiàn)，而簡單的一個(gè)步驟能保護(hù)你的系統(tǒng)。 ############? PHP提供了兩個(gè)方便的函數(shù)以減輕這些理論上的風(fēng)險(xiǎn)：is_uploaded_file( ) and move_uploaded_file( )。如果你需要確保tmp_name中的文件是上傳的文件，你可以用is_uploaded_file( )：############CODE:############?### ###

 <?php
 
  $filename = $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
 
  if (is_uploaded_file($filename))
  {
    /* $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;] is an
uploaded file. */
  }
 
  ?>

###############

如果你希望只把上傳的文件移到一個(gè)固定位置，你可以使用move_uploaded_file( )：

CODE:

 <?php
 
  $old_filename =
$_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
  $new_filename = &#39;/path/to/attachment.txt&#39;;
 
  if (move_uploaded_file($old_filename,
$new_filename))
  {
    /* $old_filename is an uploaded file, and the
move was successful. */
  }
 
  ?>

最后你可以用 filesize( ) 來校驗(yàn)文件的大?。?/span>

CODE:

 <?php
 
  $filename = $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
 
  if (is_uploaded_file($filename))
  {
    $size = filesize($filename);
  }
 
  ?>

這些安全措施的目的是加上一層額外的安全保護(hù)層。最佳的方法是永遠(yuǎn)盡可能少地去信任。?

以上就是PHP安全-文件上傳攻擊的內(nèi)容，更多相關(guān)內(nèi)容請(qǐng)關(guān)注PHP中文網(wǎng)（miracleart.cn）！