php上传文件的安全问题？ [复制]

Question

可能重复：
Security threats with uploads

我允许用户将图片上传到我们的网站。我是否认为我应该检查文件 .jpg/.jpeg/.gif 的扩展名以及 mime 类型以确保没有上传危险文件？

我还应该在上传时调整文件大小以检查它是否是实际的图像文件，而不是重命名的 exe 或类似文件？例如，如果调整大小失败，则它不是图像文件。

我还应该防范其他形式的攻击吗？

编辑：还在图像文件夹中添加一个 .htaccess 文件，因此 php 文件无法执行：

AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI
order deny,allow
deny from all

Answer 1

调整图像大小听起来是个好主意。不要忘记，有些真实图片是用 php 代码上传的，只是为了在任何本地包含漏洞中使用它们。

Answer 2

识别文件类型的最佳方法是使用file 命令行工具或任何其他基于相同“魔术字符串”数据库原理的工具，它知道许多文件的二进制签名，并告诉你哪个是一场比赛。

这种方法的优点是它不受扩展名和 MIME 类型操作的影响，也不受用于调整文件大小的图像操作库的潜在利用（这些年来已经有一些）。

这种方法的缺点是它可能会在临界情况下失败（一般来说，验证问题不大）并且您需要能够使用这样的工具，这在许多共享主机上可能不可用提供者。从好的方面来说，这里有一个使用这种方法的 PHP 扩展：http://www.php.net/manual/en/intro.fileinfo.php

Answer 3

你绝对应该检查上传文件的 mime 类型，因为攻击者可以有效地上传一个名为 somethingbad.php.jpg 的文件，它会像普通的 php 脚本一样执行。

Answer 4

上传文件没有安全问题。

1. 只要确保您只存储带有图片扩展名的上传文件
2. 文件大小有一个上限 - 这将保护服务器免受恶意人员的攻击 发送（例如/dev/zero）给您。
3. 提供这些文件时，请确保 MIME 类型适用于图像。

其他帖子不正确

1. 浏览器不运行 PHP 代码
2. 不要信任浏览器中的任何内容。只需从浏览器中获取数据作为建议。即你可以伪造 MIME 类型。