说明:任意文件上传漏洞,很多PHP开发者也会做一些简单的防护,但是这个防护有被绕过的可能。
$file = $_FILES['file'] ?? [];
//检测文件类型
$allow_mime = ['image/jpg', 'image/jpeg', 'image/png', 'image/gif'];
if(! in_array($file['type'], $allow_mime)) {
echo json_encode(['code' => 1, 'msg' => "文件类型错误"], JSON_UNESCAPED_UNICODE);
return;
}
print_r($file);
上传一个PHP文件,提示文件类型错误,使用ApiPost修改上传的Content-Type,把原先的application/x-httpd-php修改为image/png,则可绕过。
因为:$_FILES['type']是根据上传文件的content-type获取的,并文件本身的mime-type,而content-type又可以被篡改。
$file = $_FILES['file'] ?? [];
//检测文件类型
$allow_mime = ['image/jpg', 'image/jpeg', 'image/png', 'image/gif'];
if(! in_array((new \finfo(\FILEINFO_MIME_TYPE))->file($file['tmp_name']), $allow_mime)) {
echo json_encode(['code' => 1, 'msg' => "文件类型错误"], JSON_UNESCAPED_UNICODE);
return;
}
print_r($file);
$file->getClientMimeType(); //相当于$_FILES['file']['type']; $file->getMimeType(); //相当于(new \finfo(\FILEINFO_MIME_TYPE))->file($_FILES['file']['tmp_name'])
说话得有依据,经过反复的追Laravel的源码:
底层对getClientMimeType()的实现: 是在vendor/symfony/http-foundation/Request.php的createFromGlobals()中,基于$_FILES做的封装。 底层对getMimeType()的实现: 是在vendor/symfony/mime/FileinfoMimeTypeGuesser.php的guessMimeType()中,利用finfo的内置PHP类实现的。
使用getMimeType函数。
先判断文件后缀,在判断临时文件的mime类型属性,不要根据请求头判断。
检测文件mime类型,还有一个mime_content_type();
虽然两者相差不大,但是推荐用(new \finfo(\FILEINFO_MIME_TYPE))->file('file_path');
使用finfo_file()也可以获取文件的mime类型。
$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $file['tmp_name']); $mime = (new \finfo(FILEINFO_MIME_TYPE))->file($file['tmp_name']);
两者底层对获取mime类型的实现无差别,展示写法不同。
文件的魔术数字是文件头部的一段特定的字节序列,用来描述文件的类型或格式,一般用16进制表示。
文件的魔术数字一般包含一些特殊的字符和数字组成的固定长度的字节串,不同类型的文件具有不同的魔术数字。例如,PNG 图像文件的魔术数字为 89 50 4E 47 0D 0A 1A 0A,而 JPG 图像文件的魔术数字为 FF D8 FF E0 00 10 4A 46 49 46 00 01。
PHP获取魔术数字实现方案:
$fileHandle = fopen($_FILES['file']['tmp_name'], 'rb');
$hex = '';
while (! feof($fileHandle)) {
$byte = fread($fileHandle, 1);
$hex .= sprintf("%02X ", ord($byte));
}
fclose($fileHandle);
echo $hex;到此这篇关于PHP文件上传安全:优化代码有效防范漏洞的文章就介绍到这了,更多相关PHP防止任意文件上传漏洞内容请搜索插件窝以前的文章或继续浏览下面的相关文章希望大家以后多多支持插件窝!