PHP文件上传名字、内容、权限处理是怎样
发布时间:2023-12-22 12:25:00 所属栏目:PHP教程 来源:DaWei
导读: 在这篇文章中,我们来学习一下“PHP文件上传名字、内容?”的相关知识,下文有详细的讲解,易于大家学习和理解,有需要的朋友可以借鉴参考,下面就请大家跟着小编的思路一起来学习
|
在这篇文章中,我们来学习一下“PHP文件上传名字、内容?”的相关知识,下文有详细的讲解,易于大家学习和理解,有需要的朋友可以借鉴参考,下面就请大家跟着小编的思路一起来学习一下吧。 文件名字处理 文件名字得看业务要求。不需要保留原始名字,则随机生成名字,拼接上白名单校验过的后缀即可。 反之要谨慎处理: //允许上传的后缀白名单 $extension_white_list = ['jpg', 'pdf']; //原始文件的名字 $origin_file_name = 'xx/xxx/10月CPI同比上涨2.1%.php.pdf'; //提取文件后缀,并校验是否在白名单内 $extension = strtolower(pathinfo($origin_file_name, PATHINFO_EXTENSION)); if (!in_array($extension, $extension_white_list)) { die('错误的文件类型'); } //提取文件名 $new_file_name = pathinfo($origin_file_name, PATHINFO_BASENAME); //截取掉后缀部分 $new_file_name = mb_substr($new_file_name, 0, mb_strlen($new_file_name) - 1 - mb_strlen($extension)); //只保留有限长度的名字 $new_file_name = mb_substr($new_file_name, 0, 20); //替换掉所有的 . 避免攻击者构造多后缀的文件,缺点是文件名不能包含 . $new_file_name = str_replace('.', '_', $new_file_name); //把处理过的名字和后缀拼接起来构造成一个名字 $new_file_name = $new_file_name . '.' . $extension; print_r($new_file_name); //10月CPI同比上涨2_1%_php.pdf登录后复制 文件后缀只是表面,一个 php 文件,把后缀改成 jpg,也改变不了它携带 php 代码的事实。 针对图片文件,可以读取图片文件头判断图片类型,当然我也没测试过这个方法,感兴趣的可以自测。 另外即便上述方法可行,依然可以绕过,只要在 php 文件的头部写入某个图片类型的头部特征的字节即可伪装。 针对图片文件内容处理,真正的大招是重绘图片。 windows 系统下用 copy 命令可以制作一个包含 php 代码的图片文件,命令如下: Copy 1.jpg/b + test.php/a 2.jpg登录后复制 上述命令的意思是,把 test.php 合并到 1.jpg 的尾部,并重新导出到 2.jpg 里面,如此一来,这个 2.jpg 就是一个包含 php 代码的图片文件,可以用记事本打开它,拖滚动条到底部看到 php 代码。 像这种不干净的图片,用重绘图片的方式可以剔除掉不干净的部分。下面是重绘图片的 php 代码: try { $jpg = '包含php代码的.jpg'; list($width, $height) = getimagesize($jpg); $im = imagecreatetruecolor($width, $height); $image = imagecreatefromjpeg($jpg); imagecopyresampled($im, $image, 0, 0, 0, 0, $width, $height, $width, $height); $target = '重绘后干净的图片.jpg'; imagejpeg($image, $target); } finally { isset($im) && is_resource($im) && imagedestroy($im); isset($image) && is_resource($image) && imagedestroy($image); }登录后复制 这个处理办法的缺点是,耗费内存,图片失真,而且只能处理图片。 当然其它的文件格式,我也不知道能不能用重绘的思路去处理。 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
