设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 创业者 数据 手机
当前位置: 首页 > 站长学院 > PHP教程 > 正文

PHP文件上传名字内容权限处理是啥样?

发布时间:2023-01-09 08:44 所属栏目:121 来源:互联网
导读:在这篇文章中,我们来学习一下PHP文件上传名字、内容、权限处理是怎样?的相关知识,下文有详细的讲解,易于大家学习和理解,有需要的朋友可以借鉴参考,下面就请大家跟着小编的思路一起来学习一下吧。 文件名字处理 文件名字得看业务要求。不需要保留原始名
  在这篇文章中,我们来学习一下“PHP文件上传名字、内容、权限处理是怎样?”的相关知识,下文有详细的讲解,易于大家学习和理解,有需要的朋友可以借鉴参考,下面就请大家跟着小编的思路一起来学习一下吧。
 
     文件名字处理
 
  文件名字得看业务要求。不需要保留原始名字,则随机生成名字,拼接上白名单校验过的后缀即可。
 
  反之要谨慎处理:
 
  //允许上传的后缀白名单
  $extension_white_list = ['jpg', 'pdf'];
  //原始文件的名字
  $origin_file_name = 'xx/xxx/10月CPI同比上涨2.1%.php.pdf';
  //提取文件后缀,并校验是否在白名单内
  $extension = strtolower(pathinfo($origin_file_name, PATHINFO_EXTENSION));
  if (!in_array($extension, $extension_white_list)) {
      die('错误的文件类型');
  }
  //提取文件名
  $new_file_name = pathinfo($origin_file_name, PATHINFO_BASENAME);
  //截取掉后缀部分
  $new_file_name = mb_substr($new_file_name, 0, mb_strlen($new_file_name) - 1 - mb_strlen($extension));
  //只保留有限长度的名字
  $new_file_name = mb_substr($new_file_name, 0, 20);
  //替换掉所有的 . 避免攻击者构造多后缀的文件,缺点是文件名不能包含 .
  $new_file_name = str_replace('.', '_', $new_file_name);
  //把处理过的名字和后缀拼接起来构造成一个名字
  $new_file_name = $new_file_name . '.' . $extension;
  print_r($new_file_name); //10月CPI同比上涨2_1%_php.pdf登录后复制

  文件内容处理
 
  文件后缀只是表面,一个 php 文件,把后缀改成 jpg,也改变不了它携带 php 代码的事实。
 
  针对图片文件,可以读取图片文件头判断图片类型,当然我也没测试过这个方法,感兴趣的可以自测。
 
  另外即便上述方法可行,依然可以绕过,只要在 php 文件的头部写入某个图片类型的头部特征的字节即可伪装。
 
  针对图片文件内容处理,真正的大招是重绘图片。
 
  windows 系统下用 copy 命令可以制作一个包含 php 代码的图片文件,命令如下:
 
  Copy 1.jpg/b + test.php/a 2.jpg登录后复制
 
    上述命令的意思是,把 test.php 合并到 1.jpg 的尾部,并重新导出到 2.jpg 里面,如此一来,这个 2.jpg 就是一个包含 php 代码的图片文件,可以用记事本打开它,拖滚动条到底部看到 php 代码。
 
  像这种不干净的图片,用重绘图片的方式可以剔除掉不干净的部分。下面是重绘图片的 php 代码:
 
  try {
      $jpg = '包含php代码的.jpg';
      list($width, $height) = getimagesize($jpg);
      $im = imagecreatetruecolor($width, $height);
      $image = imagecreatefromjpeg($jpg);
      imagecopyresampled($im, $image, 0, 0, 0, 0, $width, $height, $width, $height);
      $target = '重绘后干净的图片.jpg';
      imagejpeg($image, $target);
  } finally {
      isset($im) && is_resource($im) && imagedestroy($im);
      isset($image) && is_resource($image) && imagedestroy($image);

  }登录后复制

  这个处理办法的缺点是,耗费内存,图片失真,而且只能处理图片。
 
  当然其它的文件格式,我也不知道能不能用重绘的思路去处理。
 
  文件权限处理
 
  只讨论 Linux 下的权限,先简单介绍 Linux 的权限:
 
  读取,字母 r 或数字 4 表示

  写入,字母 w 或数字 2 表示

  执行,字母 x 或数字 1 表示登录后复制

  对文件来讲,rwx 是如下含义:
 
  r:可打开读取此文件

  w:可写入此文件

  x:可执行此文件登录后复制

  对目录来讲,rwx 的含义又有点差别:
 
  r:可读取此目录的内容列表

  w:可在此目录里面进行:增、删、改文件和子目录

  x:可进入此目录登录后复制

  另外 Linux 里面,针对一个文件,用户是会被分成三种,分别是:创建该文件的用户、和创建该文件的用户处于同一用户组的用户、既不是创建者也不是同一个小组的其它用户。
 
  有了对 Linux 的权限了解,针对上传的文件所在的目录,应该设定 755 权限,表示:
 
  创建该目录的用户有读取、写入、进入此目录的权限
 
  和创建该目录的用户处于同一用户组的用户有读取、进入此目录的权限
 
  既不是创建者也不是同一个小组的其它用户有读取、进入此目录的权限
 
  755 的权限设定,可以让 nginx 代理静态文件的时候不会报 403 错误。
 
  代码示例:
 
  mkdir($save_path, 0755, true);登录后复制

  针对上传的文件,采用更严格的权限设定,应该设定 644 权限,表示:
 
  创建该文件的用户有读取、写入此文件的权限,无法执行
 
  和创建该文件的用户处于同一用户组的用户只有读取权限
 
  既不是创建者也不是同一个小组的其它用户只有读取权限
 
  644 的权限设定,可以确保即便是上传了一个非法文件也无法串改内容、执行。
 
  代码示例:
 
  chmod($file, 0644);

(编辑:ASP站长网)

    网友评论
    推荐文章
      热点阅读