完全安全的图像上载脚本
我不知道这是否会发生,但我会试试。
在过去的一个小时里,我研究了图像上传的安全性。我了解到有很多函数可以测试上传。
在我的项目中,我需要安全地上传图像。也有可能是一个非常大的数量,它可能需要大量的带宽,所以购买一个API不是一个选项。
所以我决定得到一个完整的PHP脚本,用于真正安全的图像上传。我也认为这对许多人有帮助,因为不可能找到真正安全的。但是我不是PHP的专家,所以添加一些功能对我来说真的很头疼,所以我将请求这个社区的帮助来创建一个真正安全的图像上传的完整脚本。
这里有一些非常好的话题(不过,他们只是告诉我们需要做什么,而不是如何做,正如我所说的,我不是PHP高手,所以我不能自己完成这一切):PHP图像上传安全检查表https://security.stackexchange.com/questions/32852/risks-of-a-php-image-upload-form
总的来说,他们告诉我们这是安全图像上传所需要的(我将引用上面的页面):
- 禁用PHP在上传文件夹中使用. http访问。
- 如果文件名包含字符串php,则不允许上传。
- 只允许扩展:jpg, jpeg, gif和png.
- 只允许图像文件类型。
- 禁止两个文件类型的图像。
- 更改图像名称。上传到子目录而不是根目录。
还有:
- 使用GD(或Imagick)重新处理图像并保存处理后的图像。所有其他的对黑客来说都是无聊的”
这里有很大一部分,但仍然不是全部。(如果您知道更多有助于使上传更加安全的信息,请与他人分享。)
这就是我们现在得到的
>
主要PHP:
function uploadFile ($file_field = null, $check_image = false, $random_name = false) {
//Config Section
//Set file upload path
$path = 'uploads/'; //with trailing slash
//Set max file size in bytes
$max_size = 1000000;
//Set default file extension whitelist
$whitelist_ext = array('jpeg','jpg','png','gif');
//Set default file type whitelist
$whitelist_type = array('image/jpeg', 'image/jpg', 'image/png','image/gif');
//The Validation
// Create an array to hold any output
$out = array('error'=>null);
if (!$file_field) {
$out['error'][] = "Please specify a valid form field name";
}
if (!$path) {
$out['error'][] = "Please specify a valid upload path";
}
if (count($out['error'])>0) {
return $out;
}
//Make sure that there is a file
if((!empty($_FILES[$file_field])) && ($_FILES[$file_field]['error'] == 0)) {
// Get filename
$file_info = pathinfo($_FILES[$file_field]['name']);
$name = $file_info['filename'];
$ext = $file_info['extension'];
//Check file has the right extension
if (!in_array($ext, $whitelist_ext)) {
$out['error'][] = "Invalid file Extension";
}
//Check that the file is of the right type
if (!in_array($_FILES[$file_field]["type"], $whitelist_type)) {
$out['error'][] = "Invalid file Type";
}
//Check that the file is not too big
if ($_FILES[$file_field]["size"] > $max_size) {
$out['error'][] = "File is too big";
}
//If $check image is set as true
if ($check_image) {
if (!getimagesize($_FILES[$file_field]['tmp_name'])) {
$out['error'][] = "Uploaded file is not a valid image";
}
}
//Create full filename including path
if ($random_name) {
// Generate random filename
$tmp = str_replace(array('.',' '), array('',''), microtime());
if (!$tmp || $tmp == '') {
$out['error'][] = "File must have a name";
}
$newname = $tmp.'.'.$ext;
} else {
$newname = $name.'.'.$ext;
}
//Check if file already exists on server
if (file_exists($path.$newname)) {
$out['error'][] = "A file with this name already exists";
}
if (count($out['error'])>0) {
//The file has not correctly validated
return $out;
}
if (move_uploaded_file($_FILES[$file_field]['tmp_name'], $path.$newname)) {
//Success
$out['filepath'] = $path;
$out['filename'] = $newname;
return $out;
} else {
$out['error'][] = "Server Error!";
}
} else {
$out['error'][] = "No file uploaded";
return $out;
}
}
if (isset($_POST['submit'])) {
$file = uploadFile('file', true, true);
if (is_array($file['error'])) {
$message = '';
foreach ($file['error'] as $msg) {
$message .= '<p>'.$msg.'</p>';
}
} else {
$message = "File uploaded successfully".$newname;
}
echo $message;
}
及表格:
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" enctype="multipart/form-data" name="form1" id="form1">
<input name="file" type="file" id="imagee" />
<input name="submit" type="submit" value="Upload" />
</form>
所以,我要求的是通过发布代码片段来提供帮助,这将帮助我(和其他人)使这个图像上传脚本变得超级安全。或者通过共享/创建添加了所有代码段的完整脚本。
共有3个答案
这是另一个提示。不要依赖['type']元素,它太不可靠了。而是检查文件头本身以查看文件类型。大概是这样的:
<?php
// open the file and check header
$tempfile = $FILES['tmp_name'];
if (!($handle = fopen($tempfile, 'rb')))
{
echo 'open file failed';
fclose($handle);
exit;
}else{
$hdr = fread($handle, 12); //should grab first 12 of header
fclose($handle);
//now check the header results
$subheaderpre = substr($hdr, 0, 12);
$subheader = trim($subheaderpre);
//get hex value to check png
$getbytes = substr($subheader, 0, 8);
$hxval = bin2hex($getbytes);
if ((substr($subheader, 0, 4) == "\xff\xd8\xff\xe0") && (substr($subheader, 6, 5) == "JFIF\x00"))
{
//passed jpg test
}elseif($hxval == "89504e470d0a1a" || substr($subheader, 0, 8) == "\x89PNG\x0d\x0a\x1a\x0a")
{
//passed png test
}else{
//fail both
echo 'Sorry but image failed to validate, try another image';
exit;
}//close else elseif else
}//close else ! $handle
用PHP上传文件既简单又安全。我建议您了解:
- pathinfo-返回有关文件路径的信息
用PHP上传文件有两种方法:PUT和POST。要在HTML中使用POST方法,您需要在表单上启用enctype,如下所示:
<form action="" method="post" enctype="multipart/form-data">
<input type="file" name="file">
<input type="submit" value="Upload">
</form>
然后在PHP中,您需要使用$\u文件获得上传的文件,如下所示:
$_FILES['file']
然后你需要移动文件从temp(上传)与move_uploaded_file:
if (move_uploaded_file($_FILES['file']['tmp_name'], YOUR_PATH)) {
// ...
}
上传文件后,需要检查文件的扩展名。最好的方法是像这样使用pathinfo:
$extension = pathinfo($_FILES['file']['tmp_name'], PATHINFO_EXTENSION);
但是扩展名不安全,因为您可以上载扩展名为.jpg但使用mimetypetext/php的文件,而这是一个后门。因此,我建议使用finfo_open检查真正的mimetype,如下所示:
$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $_FILES['file']['tmp_name']);
不要使用$_FILES['file']['type'],因为有时,根据您的浏览器和客户端操作系统,您可能会收到Application/octet-stream,并且此mimetype不是您上传文件的真正mimetype。
我认为在这种情况下,您可以安全地上传文件。
对不起我的英语,再见!
当您开始编写安全的图像上传脚本时,有许多事情需要考虑。现在我不是这方面的专家,但我过去曾被要求开发过一次。我将在这里讲述我经历的整个过程,这样你就可以继续了。为此,我将从处理文件的非常基本的html表单和php脚本开始。
超文本标记语言形式:
<form name="upload" action="upload.php" method="POST" enctype="multipart/form-data">
Select image to upload: <input type="file" name="image">
<input type="submit" name="upload" value="upload">
</form>
PHP文件:
<?php
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['image']['name']);
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
echo "Image succesfully uploaded.";
} else {
echo "Image uploading failed.";
}
?>
第一个问题:文件类型
攻击者不必使用网站上的表单将文件上载到服务器。POST请求可以通过多种方式被拦截。考虑一下浏览器插件、代理和Perl脚本。无论我们如何努力,我们都无法阻止攻击者尝试上传他们不应该上传的内容。所以我们所有的安全都必须在服务器端完成。
第一个问题是文件类型。在上面的脚本中,攻击者可以上传他们想要的任何东西,例如php脚本,并通过直接链接执行它。因此,为了防止这种情况,我们实施了内容类型验证:
<?php
if($_FILES['image']['type'] != "image/png") {
echo "Only PNG images are allowed!";
exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['image']['name']);
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
echo "Image succesfully uploaded.";
} else {
echo "Image uploading failed.";
}
?>
不幸的是,这还不够。正如我之前提到的,攻击者完全控制了请求。没有什么会阻止他/她修改请求标头,只需将内容类型更改为“图像/png”。因此,与其仅仅依赖Content-type标头,还不如验证上传文件的内容。这就是php GD库派上用场的地方。使用getimagesize(),我们将使用GD库处理图像。如果它不是一个图像,这将失败,因此整个上传将失败:
<?php
$verifyimg = getimagesize($_FILES['image']['tmp_name']);
if($verifyimg['mime'] != 'image/png') {
echo "Only PNG images are allowed!";
exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['image']['name']);
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
echo "Image succesfully uploaded.";
} else {
echo "Image uploading failed.";
}
?>
不过我们还没到那。大多数图像文件类型都允许添加文本注释。同样,没有任何东西可以阻止攻击者添加一些php代码作为注释。GD库将评估这是一个完全有效的图像。PHP解释器将完全忽略图像并在注释中运行PHP代码。确实,这取决于php配置,php解释器处理哪些文件扩展名,哪些不处理,但由于有许多开发人员由于使用VPS而无法控制此配置,因此我们不能假设php解释器不会处理图像。这就是为什么html" target="_blank">添加文件扩展名白名单也不够安全的原因。
解决方案是将图像存储在攻击者无法直接访问文件的位置。这可能位于文档根目录之外,或者位于受.htaccess文件保护的目录中:
order deny,allow
deny from all
allow from 127.0.0.1
编辑:在与其他一些PHP程序员交谈后,我强烈建议使用文档根目录之外的文件夹,因为htaccess并不总是可靠的。
但我们仍然需要用户或任何其他访问者能够查看图像。因此,我们将使用php为他们检索图像:
<?php
$uploaddir = 'uploads/';
$name = $_GET['name']; // Assuming the file name is in the URL for this example
readfile($uploaddir.$name);
?>
第二个问题:本地文件包含攻击
虽然我们的脚本现在相当安全,但我们不能假设服务器没有其他漏洞。一个常见的安全漏洞称为本地文件包含。为了解释这一点,我需要添加一个示例代码:
<?php
if(isset($_COOKIE['lang'])) {
$lang = $_COOKIE['lang'];
} elseif (isset($_GET['lang'])) {
$lang = $_GET['lang'];
} else {
$lang = 'english';
}
include("language/$lang.php");
?>
在本例中,我们讨论的是一个多语言网站。网站语言不属于“高风险”信息。我们试图通过cookie或get请求获取访问者喜欢的语言,并基于它包含所需的文件。现在考虑攻击者进入以下URL时会发生什么:
www.example.com/index.php?lang=../uploads/my_evil_image.jpg
PHP将包含攻击者上传的文件,绕过他们无法直接访问该文件的事实,我们回到了原点。
这个问题的解决方案是确保用户不知道服务器上的文件名。相反,我们将更改文件名,甚至使用数据库来跟踪它的扩展名:
CREATE TABLE `uploads` (
`id` INT(11) NOT NULL AUTO_INCREMENT,
`name` VARCHAR(64) NOT NULL,
`original_name` VARCHAR(64) NOT NULL,
`mime_type` VARCHAR(20) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;
<?php
if(!empty($_POST['upload']) && !empty($_FILES['image']) && $_FILES['image']['error'] == 0)) {
$uploaddir = 'uploads/';
/* Generates random filename and extension */
function tempnam_sfx($path, $suffix){
do {
$file = $path."/".mt_rand().$suffix;
$fp = @fopen($file, 'x');
}
while(!$fp);
fclose($fp);
return $file;
}
/* Process image with GD library */
$verifyimg = getimagesize($_FILES['image']['tmp_name']);
/* Make sure the MIME type is an image */
$pattern = "#^(image/)[^\s\n<]+$#i";
if(!preg_match($pattern, $verifyimg['mime']){
die("Only image files are allowed!");
}
/* Rename both the image and the extension */
$uploadfile = tempnam_sfx($uploaddir, ".tmp");
/* Upload the file to a secure directory with the new name and extension */
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
/* Setup a database connection with PDO */
$dbhost = "localhost";
$dbuser = "";
$dbpass = "";
$dbname = "";
// Set DSN
$dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;
// Set options
$options = array(
PDO::ATTR_PERSISTENT => true,
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
);
try {
$db = new PDO($dsn, $dbuser, $dbpass, $options);
}
catch(PDOException $e){
die("Error!: " . $e->getMessage());
}
/* Setup query */
$query = 'INSERT INTO uploads (name, original_name, mime_type) VALUES (:name, :oriname, :mime)';
/* Prepare query */
$db->prepare($query);
/* Bind parameters */
$db->bindParam(':name', basename($uploadfile));
$db->bindParam(':oriname', basename($_FILES['image']['name']));
$db->bindParam(':mime', $_FILES['image']['type']);
/* Execute query */
try {
$db->execute();
}
catch(PDOException $e){
// Remove the uploaded file
unlink($uploadfile);
die("Error!: " . $e->getMessage());
}
} else {
die("Image upload failed!");
}
}
?>
现在我们已经做了以下工作:
- 我们已经创建了一个安全的位置来保存图像
我们仍然需要能够向游客展示图像。我们只需使用数据库的id列即可:
<?php
$uploaddir = 'uploads/';
$id = 1;
/* Setup a database connection with PDO */
$dbhost = "localhost";
$dbuser = "";
$dbpass = "";
$dbname = "";
// Set DSN
$dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;
// Set options
$options = array(
PDO::ATTR_PERSISTENT => true,
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
);
try {
$db = new PDO($dsn, $dbuser, $dbpass, $options);
}
catch(PDOException $e){
die("Error!: " . $e->getMessage());
}
/* Setup query */
$query = 'SELECT name, original_name, mime_type FROM uploads WHERE id=:id';
/* Prepare query */
$db->prepare($query);
/* Bind parameters */
$db->bindParam(':id', $id);
/* Execute query */
try {
$db->execute();
$result = $db->fetch(PDO::FETCH_ASSOC);
}
catch(PDOException $e){
die("Error!: " . $e->getMessage());
}
/* Get the original filename */
$newfile = $result['original_name'];
/* Send headers and file to visitor */
header('Content-Description: File Transfer');
header('Content-Disposition: attachment; filename='.basename($newfile));
header('Expires: 0');
header('Cache-Control: must-revalidate');
header('Pragma: public');
header('Content-Length: ' . filesize($uploaddir.$result['name']));
header("Content-Type: " . $result['mime_type']);
readfile($uploaddir.$result['name']);
?>
由于该脚本,访问者将能够查看图像或下载其原始文件名。但是,他们无法直接访问您服务器上的文件,也无法欺骗您的服务器为他/她访问该文件,因为他们无法知道它是哪个文件。他们也不能强制你的上传目录,因为除了服务器本身,它根本不允许任何人访问该目录。
我的安全图像上传脚本到此结束。
我想补充一点,我没有在这个脚本中包含一个最大文件大小,但是您应该可以自己轻松地做到这一点。
ImageUpload类
由于此脚本的高需求,我编写了一个ImageUpload类,它将使您更容易安全地处理网站访问者上传的图像。该类可以同时处理单个和多个文件,并为您提供显示、下载和删除图像等附加功能。
由于此处发布的代码太大,因此您可以从此处下载该类:
下载ImageUpload类
只需阅读README.txt并按照说明操作即可。
开源
图像安全类项目现在也可以在我的Github配置文件中使用。这样其他人(你?)就可以为这个项目做出贡献,并使它成为每个人的伟大图书馆。
-
问题内容: 我不知道这种情况是否会发生,但是我会尝试的。 在过去的一个小时中,我对图像上传安全性进行了研究。我了解到有很多功能可以测试上传。 在我的项目中,我需要确保上传的图片安全。可能还有很多,并且可能需要很多带宽,因此购买API是不可行的。 因此,我决定获得用于真正安全图像上传的完整PHP脚本。我还认为这将对许多人有所帮助,因为不可能找到真正安全的人。但是我不是php方面的专家,因此添加一些功
-
问题内容: 我允许用户将文件上传到我的服务器。我将面对哪些可能的安全威胁,以及如何消除它们? 假设我允许用户从其系统或网络将图像上传到我的服务器。现在,要检查这些图像的大小,我必须将它们存储在文件夹中。有风险吗?如何将风险降到最低? 也可以说我正在从用户在我的表单中上传的链接中下载图像。首先,我必须将这些文件保存在服务器中,以检查它们是否实际上是图像。另外,如果一个恶作剧者给我一个URL,而我最终
-
问题内容: 我正在编写脚本以将图像上传到我的应用程序。以下安全步骤是否足以使应用程序从脚本角度安全? 使用.httaccess禁止PHP在上传文件夹中运行。 如果文件名包含字符串“ php”,则不允许上传。 仅允许扩展名:jpg,jpeg,gif和png。 仅允许图像文件类型。 禁止使用两种文件类型的图像。 更改图像名称。 上载到不是根目录的子目录。 这是我的脚本: 欢迎任何新提示:) 问题答案:
-
; 该脚本使用 HM VNISEdit 脚本编辑器向导产生 ; 安装程序初始定义常量 !define PRODUCT_NAME "产品名称" !define PRODUCT_VERSION "产品版本号" !define PRODUCT_PUBLISHER "产品发布者" !define PRODUCT_WEB_SITE "http://testapp.com" #网址 !define PRODU
-
问题内容: 我正在尝试在Linux Mint上更新我的R版本,但是破碎的依赖关系阻止了我这样做。在尝试了诸如从Cran添加回购协议,sudo apt-get update之类的一切之后,我仍然无法安装R的最新版本。 我的问题是如何从机器上完全删除R,以便重新启动。我努力了 : 但是,当我运行R时,它仍然有效: 并且似乎根本没有被移除。 我想要全新安装,但我认为我没有正确删除R 问题答案: R二进制
-
https://developer.xamarin.com/guides/cross-platform/getting_started/installation/uninstalling_xamarin/#using_the_uninstall_script