我如何保護這個PHP上傳腳本

Question

我已閱讀安全PHP上傳腳本線程，但我很難讓這個已知的好腳本接受更改。我想讓這個腳本只允許.jpeg，.png和.gif文件。有人能告訴我如何修改這個腳本來做到這一點嗎？

<?php 
$result=0; 
if (trim($_POST["action"]) == "Upload File") { //**** User Clicked the Upload File Button 

    //*********** Execute the Following Code to Upload File ************* 
    $imagename = basename($_FILES['image_file']['name']); // grab name of file 
    $result = @move_uploaded_file($_FILES['image_file']['tmp_name'], $imagename); // upload it 
    if ($result==1) echo("Successfully uploaded: <b>".$imagename."</b>"); // did it work? 

} // end if 
?> 
<?php 
if ($result==1) echo("<img src='".$imagename."'>"); // display the uploaded file 
?> 

Answer 1

爲了簡潔起見，我沒有做任何錯誤檢查..但你可以評估的文件這樣的擴展：

$filename = $_FILES['image_file']['name']; 
$ext = pathinfo($filename, PATHINFO_EXTENSION); 
if($ext !== 'jpg' && $ext !== 'png' && $ext !== 'gif') {echo 'error';} 

Answer 2

$filename = $_FILES['image_file']['name']; 
$ext = pathinfo($filename, PATHINFO_EXTENSION); 
if($ext !== 'jpg' && $ext !== 'png' && $ext !== 'gif') {echo 'error';} 

是一個非常糟糕的主意進行驗證。

echo '<pre>'; 
$filename = 'image.php\0.jpg'; 

$extension = pathinfo($filename, PATHINFO_EXTENSION); 
var_dump($ext); 

的顯示的var_dump JPG

而PHP函數move_uploaded_file是與空字節\ 0脆弱。 的move_uploaded_file後，服務器將創建一個image.php文件..

Answer 3

如果你想到達服務器之前阻止上傳，您可以用JavaScript過濾。看到這個SO回答更多信息：stackoverflow.com/questions/71944/... - 在客戶端驗證Kevin Apr 26 at 22:13

永遠永遠永遠永遠neverever把信任......

---

編碼一個安全的上傳很難。很難。

您不能信任文件擴展名或MIME類型，因爲客戶端可以更改此設置。

如果你只想上傳gif，jpeg或png，你可以採取這些步驟。使用PNG，你可能會遇到麻煩，因爲編碼可能會繞過其中一些。

1. 通過file_get_contents()讀取臨時文件。
2. 運行strip_tags()就可以了。
3. 與GD庫
4. 即成由read()圖像創建新的圖像 - 不要使用include()或require()
5. 禁用PHP引擎對目錄