<html>
<body>
<form action="upload-file.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="Submit">
</form>
</body>
</html>
这里是文件上传的php代码..我想使用这个php代码,我从w3schools..你认为这是上传文件的安全代码吗?这是我发现的最简单的代码,效果非常好。我已经尝试了几个代码从其他来源,但我不能让他们工作....任何想法?
<?php
ini_set('display_errors', '0');
error_reporting(E_ALL | E_STRICT);
$allowedExts = array("jpg", "jpeg", "gif", "png");
$extension = end(explode(".", $_FILES['file']['name']));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 2097152)
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "Return Code: " . $_FILES["file"]["error"] . "<br>";
}
else
{
echo "Upload: " . $_FILES["file"]["name"] . "<br>";
echo "Type: " . $_FILES["file"]["type"] . "<br>";
echo "Size: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br>";
if (file_exists("images/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " already exists. ";
}
if($_FILES['file']['size'] > 2097152 ) //2mb
echo 'File over 2MB';
else
{
move_uploaded_file($_FILES["file"]["tmp_name"],
"images/" . $_FILES["file"]["name"]);
echo "Stored in: " . "images/" . $_FILES["file"]["name"];
}
}
}
else
{
echo "Invalid file";
}
?>
这总比没有好,但我不会说它是安全的。也许比什么都不做更安全
有很多恶意软件会感染图像,虽然代码会阻止你上传除了带有图像扩展名的文件之外的任何东西,但它不会删除恶意软件,也不会检查上传的实际字节。
理论上,可以将可执行文件从myapp.exe重命名为myapp.jpg,从而在您的服务器上放置一个坏文件,并且可以通过其他漏洞将其重命名并感染您的服务器或一些粗心的客户端。
推荐阅读:https://www.owasp.org/index.php/Unrestricted_File_Upload
这种类型的保护属于"为文件扩展名使用白名单",这在这个特定的OWASP页面上被认为是"弱"的。
另外,正如MrCode在上面的评论中所说,您可以尝试使用GD库读取文件并检查图像尺寸。如果返回值为0或无法读取图像,那么它就不是图像文件。这是我所链接的文章中没有提到的额外的安全层。这也是我在。net中使用System的实践。图纸名称空间。感谢MrCode,因为我不是PHP开发人员,也不知道如何在PHP中做到这一点。再次感谢!