WordPress/FTP 自定义文件上传安全

Question

我的文件上传例程首先检查以确保用户登录到托管上传表单的 wordpress 应用程序...检查！

这是执行此操作的上传实用程序顶部的代码...

if (!is_user_logged_in()){
    die("You Must Be Logged In to Access This");;
}

到目前为止一切顺利。现在我正在寻求进一步保护上传实用程序，以防止从上传的 zip 文件中提取恶意脚本（上传需要 zip 文件）。

我认为，使用 zip 的缺点是它可以包含任何数量或类型的文件，这可能会使处理变得比其他方式更复杂。

所以我的问题是有关如何进一步保护此上传器以确保不发送恶意文件的提示。所需的允许文件是 .php、.jpg、.gif、.png

Answer 1

你的方法走错路了。您需要确保 ZIP 文件中的所有文件都不会在恶意文件可能造成任何损害的情况下使用。

您永远无法保证上传的 ZIP 文件只包含非恶意数据。为此，您必须对其进行病毒扫描、解析包含的 PHP 代码等等。

只要看到，无论包含什么恶意，都不会展开。

例如，对于 PHP 脚本，您必须确保它们不会存储在可以从外部调用和执行它们的任何地方。

对于图像......好吧，如果你想完全确保它们不包含任何攻击图像显示组件的漏洞，你总是可以使用 PHP 的 gd 函数复制它们，破坏任何 EXIF 元数据（以及可能任何其他有害的东西）在这个过程中。

仍有一些基本的卫生设施可以而且应该做。 查看这个问题（下面的链接，markdown 现在似乎已损坏）以了解有关该问题的更多信息 - 特别是 bobince 的答案和他发布的链接。这教会了我很多很多。

How to make a safe file upload script in php?