文件上传攻击
有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data:
code:
立即学习“PHP免费学习笔记(深入)”;
隐藏的表单变量MAX_FILE_SIZE告诉了浏览器最大允许上传的文件大小。与很多客户端限制相同,这一限制很容易被攻击者绕开,但它可以为合法用户提供向导。在服务器上进行该限制才是可靠的。
PHP的配置变量中,upload_max_filesize控制最大允许上传的文件大小。同时post_max_size(POST表单的最大提交数据的大小)也能潜在地进行控制,因为文件是通过表单数据进行上传的。
接收程序upload.php显示了超级全局数组$_FILES的内容:
code:
立即学习“PHP免费学习笔记(深入)”;
为了理解上传的过程,我们使用一个名为author.txt的文件进行测试,下面是它的内容:
code:
立即学习“PHP免费学习笔记(深入)”;
Chris Shiflett http://www.php.cn/
当你上传该文件到upload.php程序时,你可以在浏览器中看到类似下面的输出:
code:
立即学习“PHP免费学习笔记(深入)”;
Array
(
[attachment] => Array
(
[name] => author.txt
[type] => text/plain
[tmp_name] => /tmp/phpShfltt
[error] => 0
[size] => 36
)
)虽然从上面可以看出PHP实际在超级全局数组$_FILES中提供的内容,但是它无法给出表单数据的原始信息。作为一个关注安全的开发者,需要识别输入以知道浏览器实际发送了什么,看一下下面的HTTP请求信息是很有必要的:
code:
立即学习“PHP免费学习笔记(深入)”;
POST /upload.php HTTP/1.1 Host: example.org Content-Type: multipart/form-data; boundary=----------12345 Content-Length: 245 ----------12345 Content-Disposition: form-data; name="attachment"; filename="author.txt" Content-Type: text/plain Chris Shiflett http://www.php.cn/ ----------12345 Content-Disposition: form-data; name="MAX_FILE_SIZE" 1024 ----------12345--
虽然你没有必要理解请求的格式,但是你要能识别出文件及相关的元数据。用户只提供了名称与类型,因此tmp_name,error及size都是PHP所提供的。
由于PHP在文件系统的临时文件区保存上传的文件(本例中是/tmp/phpShfltt),所以通常进行的操作是把它移到其它地方进行保存及读取到内存。如果你不对tmp_name作检查以确保它是一个上传的文件(而不是/etc/passwd之类的东西),存在一个理论上的风险。之所以叫理论上的风险,是因为没有一种已知的攻击手段允许攻击者去修改tmp_name的值。但是,没有攻击手段并不意味着你不需要做一些简单的安全措施。新的攻击手段每天在出现,而简单的一个步骤能保护你的系统。
PHP提供了两个方便的函数以减轻这些理论上的风险:is_uploaded_file( ) and move_uploaded_file( )。如果你需要确保tmp_name中的文件是一个上传的文件,你可以用is_uploaded_file( ):
code:
立即学习“PHP免费学习笔记(深入)”;
如果你希望只把上传的文件移到一个固定位置,你可以使用move_uploaded_file( ):
code:
立即学习“PHP免费学习笔记(深入)”;
最后你可以用 filesize( ) 来校验文件的大小:
code:
立即学习“PHP免费学习笔记(深入)”;
这些安全措施的目的是加上一层额外的安全保护层。最佳的方法是永远尽可能少地去信任。
以上就是PHP安全-文件上传攻击的内容,更多相关内容请关注PHP中文网(www.php.cn)!
