2. 程式人生 > >php 圖片上傳安全探討

php 圖片上傳安全探討

阿新 發佈:2019-01-06

PHP 圖片上傳安全探討

[問題發現]

今天想做一個圖片上傳的操作類,在網上找了些demo,發現大家對上傳的檔案,會先對檔案型別進行校驗,

校驗的方式基本上就是獲取 $_FILES["upfile"]["type"] 然後匹配自己限制的mime型別,

邏輯上是對的,

但是,問題在於我無意中看到一篇文章說$_FILES["upfile"]["type"] 的值來自於瀏覽器對檔案型別的判斷。

我馬上想到了其中的安全隱患,

換句話說,一旦我們網頁post的資料離開了劉瀏覽器,就可以被隨意篡改,包括上傳檔案的型別,

[實驗階段]

現在我們做個小實驗,我們自己寫個web頁面上傳圖片,後臺對檔案型別進行判斷,並儲存檔案!

這個是我們建立的一個簡單的圖片上傳表單:


隨便上傳一張圖片,通過fiddler除錯,我們可以看到圖片上傳是的請求頭


圖片也上傳成功了伺服器


接下來,我們上傳一個php檔案上去,


可以看到,php檔案的mime為application/octet-stream,並沒有通過後臺稽核


那麼我們現在通過fillder,直接修改CONTENT-TYPE的值,然後提交資料

檔案竟然通過了後臺的稽核,傳送到了伺服器


然後,我們嘗試著訪問這個php檔案,竟然可以正常的訪問,可以想象,如果這個檔案裡包含的是刪除某些目錄或者更加危險的行為,那將是非常危險的。


更無語的是,如果我們自是簡單的把檔案的字尾名改成,jpeg,png,等等,瀏覽器都校驗其為圖片型別。

[應對思路方法]

既然上傳的檔案資訊可以被隨意篡改,那麼,我們的思路就是,對上傳到本地的臨時檔案做校驗,這樣就避免了客戶端提交資訊的不安全性。

就php而言,可以通過Fileinfo函式獲取伺服器的檔案型別。經測試,不過是通過fiddler修改請求頭,還是直接修改檔案字尾,Fileinfo函式都能正確地校驗檔案型別。

希望平時通過$_FILES校驗檔案的朋友,可以過一些安全的防護,也希望朋友們多多瀏覽,談談你對檔案上傳安全的寶貴意見!

相關推薦

php 圖片安全探討

PHP 圖片上傳安全探討 [問題發現] 今天想做一個圖片上傳的操作類,在網上找了些demo,發現大家對上傳的檔案,會先對檔案型別進行校驗, 校驗的方式基本上就是獲取 $_FILES["upfile"]["type"] 然後匹配自己限制的mime型別, 邏輯上

幾乎考慮到了每個細節的php圖片

time itl wid cas fault ima ini文件 put val <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <?php /**

PHP圖片功能實現

php file 圖片上傳 上傳圖片功能:獲取當前文件夾位置,上傳到當前文件夾下為了上傳後文件名重復導致覆蓋,上傳後更改名字為:當前時間+原文件名只允許gif、jpeg、bmg、jpg格式的文件上傳<form name="frm1" enctype="multipart/form-data"

php圖片檢測是否為真實圖片格式

notepad++ exif -h 只讀 all item apach gif sel PHP 圖片上傳,如果不做任何判斷的話,隨便一個文件如 rar,zip,php,java等文件改個文件名,改個後綴就能以圖片形式上傳的服務器,往往會造成極大的危害! 工

php 圖片之利用form表單

idt cti contain 開啟 1.7 png ret 選擇圖片 post 、利用form表單上傳此種方式是最原始的上傳方式,前端就是簡單的form表單,後端我們有PHP處理傳輸過來的文件。首先看前端的代碼 upload.html 1 2 3 4

php圖片類(支持縮放、裁剪、圖片縮略功能)

php圖片上傳類(支持縮放、裁剪、圖片縮代碼: /** * @author [Lee] <[<[email protected]>]> * 1、自動驗證文件是表單提交的文件還是base64流提交的文件 * 2、驗證圖片類型是否合法 * 3、驗證圖片尺寸是否合法 * 4、驗證圖片大小是否合法

PHP圖片同時儲存路徑到資料庫

本片文件記載如何將圖片上傳至自己制定的目錄檔案下,同時可以將資訊填入資料庫。本片文件部分技術內容參照w3school。 首先是HTML頁面: <form action="register.php" method="post" enctype="multipart/form-data" onSu

php 圖片

private function base64_upload($base64) { ini_set('max_execution_time', '0'); $base64_image = str_replace(' ', '+', $base64); if (preg_m

最完整實用的PHP圖片 程式碼外掛片段

今天來做一個圖片上傳功能的外掛,首先做一個html檔案:text.php <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/

PHP 圖片 (AIP圖片介面,視訊同理,只需改動jpg,png等為mp4,flv等)

PHP上傳的簡單案例:  Html檔案:<html> <form action="index.php" name="form" method="post" enctype="multipart/form-data"> <input ty

php圖片兩種方式base64與file

首先介紹大家熟知的form表單提交(file)方式: <!DOCTYPE html> <html> <head> <meta charset="UTF-

PHP圖片、檔案函式

/** * [file_upload 檔案上傳函式,支援單檔案,多檔案] * Author: 程威明 * @param string $name input表單中的name * @param string $save_dir

php判斷文件是不是圖片,如果是,返回圖片格式

int 格式 unpack char .com intval 圖片格式 unp filename /判斷文件是不是圖片格式@param fileName 文件名@return array 如果code為1,是圖片;否則不是圖片@author lee complet@163.

PHP壓縮圖片

是否 amp break class gef char mar fread type 最近手上的項目頁面要顯示很多圖片,雖然用了jQuery的lazyload,但是效果並沒理想,滑動到一個區域還要比較長的時間圖片才完全顯示出來。於是想著將上傳上去的900KB+壓縮備份一份縮

php圖片圖片服務器

str sting exec pen pan 允許 _id ont scrip 圖片服務器代碼 <?php /** * 圖片服務器上傳API接口 * by Zx * date 2016-04-28 */ header(‘Content-type:text/

php base64圖片

php base64上傳圖片 $ymd = date("Ymdhis"); //圖片路徑地址 $img = str_replace(‘data:image/png;base64,‘, ‘‘, $img); $img = s

php圖片功能

圖片預覽 怎樣 emp put html5 .org input pro splay 今天來做一個圖片上傳功能的插件,首先做一個html文件:text.php <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transit

UEditor 圖片配置(PHP

修改config.php檔案第11,12行 線上 "imageUrlPrefix": "http://www.leition.com/", /* 圖片訪問路徑字首 */ "imagePathFormat": "upload/image/{yyyy}{mm}{dd}/

layui 富文字 圖片 後端PHP介面

layui 富文字 圖片上傳 後端PHP介面 html <!DOCTYPE html> <html> <head> <link rel="stylesheet" type="text/css" href="/static/layui/

PHP+layui圖片(無重新整理)

一、下載layui部署到專案,在頁面引入layui.css和layui.js。  二、html程式碼 <div class="layui-form-item"> <label class="layui-form-label">圖片</label