我一直在阅读关于PHP文件上传安全性的文章,一些文章建议重命名这些文件。例如,OWASP文章Unrestricted File Upload说:
建议使用算法来确定文件名。对于例如,文件名可以是文件名加上当天的日期。
如果用户上传了一个名为Cake Recipe.doc的文件,是否真的有理由将其重命名为45706365b7d5b1f35?
如果答案是肯定的,无论出于何种原因,那么如何跟踪原始文件名和扩展名?
对于您的主要问题,重命名文件是否是一种好的做法,答案肯定是肯定的,尤其是如果您正在创建一种文件库形式,用户可以在其中上传自己选择的文件(和文件名),原因如下:
- 安全性——如果你有一个写得不好的应用程序,允许通过名称或直接访问下载文件(这很可怕,但确实发生了),那么用户就很难"猜测"文件的名称,无论是恶意的还是故意的
- 唯一性——两个不同的人上传相同名称文件的可能性非常高(如avatar.gif、readme.txt、video.avi等)。使用唯一标识符可以显著降低两个文件同名的可能性
- 版本控制——使用唯一的名称保存文档的多个"版本"要容易得多。它还避免了需要额外的代码来解析文件名以进行更改。一个简单的例子是document.pdf到document(1).pdf,当你不低估用户为事物创建可怕名称的能力时,这会变得更加复杂
- 长度——使用已知文件名长度总是比使用未知文件名长度更好。我总是知道(我的文件路径)+(X个字母)是一个特定的长度,其中(我的档案路径)+"随机用户文件名"是完全未知的
- OS——当试图将非常随机/长的文件名写入驱动器时,上述长度也会产生问题。您必须考虑特殊字符、长度和修剪文件名的问题(用户可能不会收到工作文件,因为扩展名已被修剪)
- 执行——操作系统很容易执行名为.exe、.php或(插入其他扩展名)的文件。没有延期的时候很难
- URL编码--确保名称是URL安全的。
Cake Recipe.doc不是一个URL安全名称,在某些系统(服务器端或浏览器端)/某些情况下,当名称应该是urlencoded值时,可能会导致不一致
至于存储信息,你通常会在数据库中这样做,这与你已经需要的没有什么不同,因为你需要一种方法来引用回文件(谁上传了文件,名称是什么,有时存储在哪里,上传时间,有时是大小)。您只需在文件的用户名之外添加文件的实际存储名称。
OWASP的建议不错——使用文件名和时间戳(而不是日期)将是唯一的。我更进一步,将微时间与时间戳以及其他一些独特的信息包括在内,这样小文件的重复上传就不会在同一时间段内发生——我还存储了上传日期,这是防止md5冲突的额外保险,在存储许多文件和数年的系统中,这种情况的可能性更高。您不太可能在同一天使用文件名和微时间生成两个类似的md5s。例如:
$filename = date('Ymd') . '_' . md5($uploaded_filename . microtime());
我的2美分。
当我上传文件时,我使用PHP的unique_id()函数来处理存储在服务器上的文件名(并且我保留了文件扩展名,因为当我通过本地文件系统查看存储目录中的所有文件时,这对我来说更容易)。
我将文件保存在网站文件系统之外(也就是说,你永远无法直接浏览到文件)。
我总是使用php的move_uploaded_file()函数将文件保存到服务器。
我将原始文件名、存储该文件的路径/文件名,以及您可能需要的关于上传者的任何其他项目相关信息等存储在数据库中。
在我的一些实现中,我还创建了一个文件内容的散列,并将其保存在数据库中。然后与其他上传的文件一起查看数据库,看看我是否已经存储了该文件的副本。
一些代码示例:
形式:
form method="post" enctype="multipart/form-data" action="your_form_handler.php">
<input type="file" name="file1" value="" />
<input type="submit" name="b1" value="Upload File" />
</form>
表单处理程序:
<?php
// pass the file input name used in the form and any other pertinent info to store in the db, username in this example
_process_uploaded_file('file1', 'jsmith');
exit;
function _process_uploaded_file($file_key, $username='guest'){
if(array_key_exists($file_key, $_FILES)){
$file = $_FILES[$file_key];
if($file['size'] > 0){
$data_storage_path = '/path/to/file/storage/directory/';
$original_filename = $file['name'];
$file_basename = substr($original_filename, 0, strripos($original_filename, '.')); // strip extention
$file_ext = substr($original_filename, strripos($original_filename, '.'));
$file_md5_hash = md5_file($file['tmp_name']);
$stored_filename = uniqid();
$stored_filename .= $file_ext;
if(! move_uploaded_file($file['tmp_name'], $data_storage_path.$stored_filename)){
// unable to move, check error_log for details
return 0;
}
// insert a record into your db using your own mechanism ...
// $statement = "INSERT into yourtable (original_filename, stored_filename, file_md5_hash, username, activity_date) VALUES (?, ?, ?, ?, NOW())";
// success, all done
return 1;
}
}
return 0;
}
?>
处理下载请求的程序
<?php
// Do all neccessary security checks etc to make sure the user is allowed to download the file, etc..
//
$file = '/path/to/your/storage/directory' . 'the_stored_filename';
$filesize = filesize($file);
header('Content-Description: File Transfer');
header("Content-type: application/forcedownload");
header("Content-disposition: attachment; filename='"filename_to_display.example'"");
header("Content-Transfer-Encoding: Binary");
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
header("Content-length: ".$filesize);
ob_clean();
flush();
readfile("$file");
exit;
如果你想在用户请求的同一页面上显示下载,那么看看我对这篇文章的回答:从javascript 下载多个PDF文件
你有充分的理由需要重命名上传的文件,如果两个上传相同的文件,或者文件名相同,后一个文件将取代前一个文件,这是不好的。
你可以使用像这样的散列算法
$extensions = explode(".",$file-name);
$ext = $extensions[count($extensions)-1];
$file-name = md5($file-name .$_SERVER['REMOTE_ADDR']) .'.' .$ext;
然后您可以保存文件名、哈希文件名、上传器详细信息、日期和时间的详细信息,以跟踪文件