如何保護PHP圖像上傳腳本免受攻擊？

Question

我創建了一個簡單的頁面（使用a script以及Stack的一些幫助和朋友的一些幫助;我對PHP知之甚少）一個簡單的頁面供當地非盈利出版物供人們上傳照片。

我不是偉大的安全性（從無知，不是故意疏忽的基礎上），但我已經採取了以下措施來保護這個頁面：

•PHP腳本設置爲只接受.JPG ，.png和.tif文件上傳;
•保存表單內容的子文件夾的權限設置爲700，保存上傳照片的子文件夾的權限設置爲700;
•根據文檔，我的主機具有以下配置，以確保只有.php文件作爲.PHP運行：

<FilesMatch \.php$> 
    SetHandler php52-fcgi 
</FilesMatch> 

•我已經把相關的.htaccess文件（主要和保存的內容）文件夾：

RemoveHandler .php 
RemoveHandler .inc 
RemoveHandler .pl 
RemoveHandler .cgi 
RemoveHandler .py 
RemoveHandler .fcgi 

一夜之間，然而，有人發現了這個測試頁面，並提交似乎是完全良性的測試消息和小.JPG。這是一個帶有非直觀URL的私人測試頁面，只有我和其他三個人都知道;其他人都沒有發送這個測試。

這顯然讓我擔心有些事情會發生，我擔心我對安全性不夠了解，以確保此頁面安全。

有什麼明顯的我失蹤了嗎？

Answer 1

在處理上傳時，應該記住，您可以在$ _FILES數組中找到的所有數據都可以僞造。它通過HTTP傳輸，因此將image/jpg mime提供給可執行文件非常容易。

1-檢查真正的啞劇

PHP想出一些功能來檢查文件的真實MIME。對於您應該使用fileinfo

$finfo = new finfo(FILEINFO_MIME, "/usr/share/misc/magic"); 
$filename = "/var/tmp/afile.jpg"; 
echo $finfo->file($filename); 

2 - 查看圖像的特性

你顯然希望只上傳圖片，所以接收到的文件必須有一個寬度和高度：

使用getImageSize()獲取有關圖像的所有必需信息。如果它返回false，則該文件可能不是圖像，您可以將其刪除。 getImageSize也可以給你一個MIME類型，但我不知道它是否可信。

2.5重新處理圖像

至於建議的user628405，後處理與GD圖像可能是做的更安全的事情。

$img = imagecreatefrompng('vulnerable.png'); 
imagepng($img, 'safe.png'); 

很明顯，它必須根據圖像類型進行調整。在php文檔中查看所有imagecreatefrom *。

3-上傳文件夾 另外的什麼你已經這樣做：

確保您上傳的文件夾不可用從網絡。驗證上傳的文件，然後將其移至其他文件夾（如果需要）並重命名該文件。 它將防止黑客執行惡意文件（如果無法通過url訪問，則無法執行）。

延伸閱讀：https://www.owasp.org/index.php/Unrestricted_File_Upload

Answer 2

您可以檢查文件的MIME類型，但不要擔心，只要您的PHP處理程序只能執行.php文件，並且您正在考慮不在您的腳本中保存上傳的.php文件，不要泄露任何安全漏洞。

這對於.php文件以及服務器上安裝的任何其他服務器端腳本語言都是有效的。

一個更好的主意是保留一個白色的擴展名，你可以保存在你的文件系統上。

Answer 3

我會忽略傳入文件的MIME類型和文件擴展名。這些可以是假的。

如果你沿着那條街道存放這些文件在一個目錄中。

確保該目錄僅用於圖像（音樂），然後通過查看文件格式獲取腳本以在其上放置正確的擴展名。

還要確保該目錄不能執行PHP（或其他任何東西）。

這會讓你安全。

Answer 4

不要依賴於從客戶端，包括內容類型的任何數據！

不要將上傳的文件保存在web根目錄下。上傳的文件應該只能通過腳本訪問，以便更好地控制。

請勿使用原始文件名和擴展名保存上傳的文件！將這些數據存儲在數據庫中供稍後檢索。