파일 업로드 공격을 방지하기 위해 이미지 업로드 스크립트를 안전하게 만드는 방법은 무엇입니까?

완전 보안 이미지 업로드 스크립트

소개

무단 파일 업로드 및 데이터 침해를 방지하려면 안전한 이미지 업로드 스크립트를 구현하는 것이 중요합니다. 포괄적인 스크립트를 생성하는 방법에 대한 자세한 설명은 다음과 같습니다.

파일 형식 공격 방지

공격자는 요청 헤더를 수정하여 악성 파일 형식을 악용할 수 있습니다. 이 문제를 해결하려면:

• 콘텐츠 유형 확인: 업로드된 파일의 콘텐츠 유형 헤더가 예상 이미지 유형(예: image/png)과 일치하는지 확인하세요.
• 이미지 유효성 검사: GD 라이브러리의 getimagesize() 함수를 사용하여 업로드된 파일이 있는지 확인합니다. 유효한 이미지이고 MIME 유형을 추출합니다.

텍스트 주석 공격 방지

이미지 형식이 유효하더라도 공격자는 악성 PHP 코드를 주석으로 삽입할 수 있습니다. 이를 완화하려면:

• 확장자 이름 바꾸기 및 변경: 업로드된 파일의 이름을 바꾸고 확장자를 변경하여 무단 당사자의 직접 액세스를 방지합니다.
• 저장 보안 디렉터리에: 문서 루트 외부 또는 액세스가 제한된 디렉터리와 같이 방문자가 직접 접근할 수 없는 디렉터리에 이미지를 저장합니다. .htaccess 파일.

로컬 파일 포함(LFI) 공격 방지

LFI 공격을 통해 공격자는 서버에 있는 파일에 액세스하고 이를 악용할 수 있습니다. 이를 방지하려면:

• 원본 파일 이름 변경 및 저장: 업로드된 이미지의 원본 파일 이름을 사용하지 마세요. 대신 이름을 바꾸고 원본 이름을 MIME 유형과 함께 데이터베이스에 저장하세요.
• 데이터베이스 사용: 이미지 메타데이터(예: 새 파일 이름, 원본 이름, MIME 유형)를 다음 위치에 저장하세요. 안전한 데이터 처리를 위해 PDO를 사용하는 데이터베이스

이미지를 안전하게 표시

이미지를 표시하려면 방문자에게:

• 데이터베이스 ID 사용: 업로드된 이미지의 고유 데이터베이스 ID를 사용하여 보안 디렉터리에서 검색합니다.
• 헤더 보내기 및 파일: 적절한 HTTP 헤더를 전송하여 브라우저에 이미지를 다운로드하거나 표시하라는 메시지를 표시합니다. 안전하게.

보안 PHP 스크립트

보안 조치를 구현한 후 이를 통합하는 PHP 스크립트의 예는 다음과 같습니다.

<?php

if(!empty($_POST['upload']) && !empty($_FILES['image']) && $_FILES['image']['error'] == 0) {

    $uploaddir = 'uploads/'; // Secure directory for images

    // Processing image and security checks (explained in previous sections)

    // Database setup and query for secure storage

    // Successful upload and database insertion

} else {
    die('Image upload failed!');
}

?>

이미지 검색 및 표시

업로드된 이미지를 검색하고 표시하려면 방문자:

<?php

$uploaddir = 'uploads/'; // Secure directory for images
$id = 1; // Database ID of the image to retrieve

// Database setup and query to fetch image metadata

// Send headers and image file to visitor

?>

결론

이러한 보안 조치를 구현하면 무단 액세스 및 잠재적인 취약점으로부터 웹사이트를 보호하는 강력하고 안전한 이미지 업로드 스크립트를 만들 수 있습니다.

위 내용은 파일 업로드 공격을 방지하기 위해 이미지 업로드 스크립트를 안전하게 만드는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!