PHP安全-文件上傳攻擊

有時在除了標準的表單數據外，你還需要讓用戶進行文件上傳。由于文件在表單中傳送時與其它的表單數據不同，你必須指定一個特別的編碼方式multipart/form-data：

CODE:

<form action='upload.php' method='POST' enctype='multipart/form-data'>

一個同時有普通表單數據和文件的表單是一個特殊的格式，而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。

允許用戶進行選擇文件并上傳的表單元素是很簡單的：

CODE:

<input type='file' name='attachment' />

該元素在各種瀏覽器中的外觀表現形式各有不同。傳統上，界面上包括一個標準的文本框及一個瀏覽按鈕，以使用戶能直接手工錄入文件的路徑或通過瀏覽選擇。在Safari瀏覽器中只有瀏覽按鈕。幸運的是，它們的作用與行為是相同的。

為了更好地演示文件上傳機制，下面是一個允許用戶上傳附件的例子：

CODE:

<form action='upload.php' method='POST' enctype='multipart/form-data'>

<p>Please choose a file to upload:

<input type='hidden' name='MAX_FILE_SIZE' value='1024' />

<input type='file' name='attachment' /><br />

<input type='submit' value='Upload Attachment' /></p>

</form>

隱藏的表單變量MAX_FILE_SIZE告訴了瀏覽器最大允許上傳的文件大小。與很多客戶端限制相同，這一限制很容易被攻擊者繞開，但它可以為合法用戶提供向導。在服務器上進行該限制才是可靠的。

PHP的配置變量中，upload_max_filesize控制最大允許上傳的文件大小。同時post_max_size（POST表單的最大提交數據的大?。┮材軡撛诘剡M行控制，因為文件是通過表單數據進行上傳的。

接收程序upload.php顯示了超級全局數組$_FILES的內容：

CODE:

<?php

header(’Content-Type: text/plain’);

print_r($_FILES);

?>

為了理解上傳的過程，我們使用一個名為author.txt的文件進行測試，下面是它的內容：

CODE:

Chris Shiflett

http://shiflett.org/

當你上傳該文件到upload.php程序時，你可以在瀏覽器中看到類似下面的輸出：

CODE:

Array

(

[attachment] => Array

(

[name] => author.txt

[type] => text/plain

[tmp_name] => /tmp/phpShfltt

[error] => 0

[size] => 36

)

)

雖然從上面可以看出PHP實際在超級全局數組$_FILES中提供的內容，但是它無法給出表單數據的原始信息。作為一個關注安全的開發者，需要識別輸入以知道瀏覽器實際發送了什么，看一下下面的HTTP請求信息是很有必要的：

CODE:

POST /upload.php HTTP/1.1

Host: example.org

Content-Type: multipart/form-data; boundary=----------12345

Content-Length: 245

----------12345

Content-Disposition: form-data; name='attachment'; filename='author.txt'

Content-Type: text/plain

Chris Shiflett

http://shiflett.org/

----------12345

Content-Disposition: form-data; name='MAX_FILE_SIZE'

1024

----------12345--

雖然你沒有必要理解請求的格式，但是你要能識別出文件及相關的元數據。用戶只提供了名稱與類型，因此tmp_name，error及size都是PHP所提供的。

由于PHP在文件系統的臨時文件區保存上傳的文件（本例中是/tmp/phpShfltt），所以通常進行的操作是把它移到其它地方進行保存及讀取到內存。如果你不對tmp_name作檢查以確保它是一個上傳的文件（而不是/etc/passwd之類的東西），存在一個理論上的風險。之所以叫理論上的風險，是因為沒有一種已知的攻擊手段允許攻擊者去修改tmp_name的值。但是，沒有攻擊手段并不意味著你不需要做一些簡單的安全措施。新的攻擊手段每天在出現，而簡單的一個步驟能保護你的系統。

PHP提供了兩個方便的函數以減輕這些理論上的風險：is_uploaded_file( ) and move_uploaded_file( )。如果你需要確保tmp_name中的文件是一個上傳的文件，你可以用is_uploaded_file( )：

CODE:

<?php

$filename = $_FILES[’attachment’][’tmp_name’];

if (is_uploaded_file($filename))

{

/* $_FILES[’attachment’][’tmp_name’] is an uploaded file. */

}

?>

如果你希望只把上傳的文件移到一個固定位置，你可以使用move_uploaded_file( )：

CODE:

<?php

$old_filename = $_FILES[’attachment’][’tmp_name’];

$new_filename = ’/path/to/attachment.txt’;

if (move_uploaded_file($old_filename, $new_filename))

{

/* $old_filename is an uploaded file, and the move was successful. */

}

?>

最后你可以用 filesize( ) 來校驗文件的大小：

CODE:

<?php

$filename = $_FILES[’attachment’][’tmp_name’];

if (is_uploaded_file($filename))

{

$size = filesize($filename);

}

?>

這些安全措施的目的是加上一層額外的安全保護層。最佳的方法是永遠盡可能少地去信任。