Phpmaster | PHP로 파일 업로드

파일 업로드에 대한 보안 위험이 있습니다. 이러한 위험을 완화하기 위해 업로드 된 파일의 유형을 확인하고 업로드 트래픽에 엄격한 제한을 부과하며 바이러스를 스캔 할 수 있습니다. 문자, 숫자 또는 매우 제한된 구두점 마크 세트를 밑줄로 바꾸어 보안 파일 이름을 보장하는 것이 중요합니다. 전제 조건

파일 업로드 처리는 어렵지 않지만 올바른 세부 사항이 있습니다. 그렇지 않으면 업로드가 실패합니다. 먼저, 업로드를 허용하도록 PHP가 구성되어 있는지 확인해야합니다. php.ini 파일을 확인하고 file_uploads 지시문이 켜져 있는지 확인하십시오.
• <form></form> 업로드 된 파일 업로드 된 파일은 먼저 임시 디렉토리에 저장됩니다 (걱정하지 마십시오 ... PHP 스크립트는 파일이 나중에 더 영구적 인 위치로 이동할 수 있습니다). 기본적으로 초기 위치는 시스템의 기본 임시 디렉토리입니다. php.ini에서 upload_tmp_dir 지시문을 사용하여 다른 디렉토리를 지정할 수 있습니다. 어쨌든 PHP 프로세스에 사용중인 디렉토리에 적절한 권한이 있는지 확인해야합니다.
• 구성을 통해 서버가 업로드 된 파일을 수락 할 수 있음을 확인한 후 HTML 세부 사항에 집중할 수 있습니다. HTML의 대부분의 다른 서버 측 상호 작용과 마찬가지로 파일 업로드는 양식을 사용합니다. 요소가 Post 메소드를 사용하고 ENCTEPE 속성을 멀티 파트/양식 데이터로 설정해야합니다.
• $_FILES 업로드 프로세스 스크립트 작성 move_uploaded_file()
자신의 경험과 지금 언급 한 요구 사항에 따라 파일 업로드 프로세스를 추측했을 수 있습니다.
• 방문자는 파일 업로드를 지원하는 데 특별히 사용되는 양식을 포함하는 HTML 페이지를 봅니다.
  • 방문자는 업로드하려는 파일을 제공하고 양식을 제출합니다.
  브라우저는 파일을 인코딩하고 서버에 발행 된 게시물 요청의 일부로 보냅니다.
  • PHP는 양식 제출을 수신하고 파일을 디코딩하고 서버의 임시 위치에 저장합니다.
  폼 제출에 대한 PHP 스크립트 유효성 검사 파일을 처리하고 어떻게 든 처리하는 책임을 맡고 있으며, 일반적으로 임시 위치에서보다 영구적 인 위치로 이동합니다.
  파일 업로드 지원 추가 지원서는 서버에 업로드 된 파일을 처리하기 위해 사용자에게 제시 할 HTML 양식을 만들어야합니다.
  html
  html 양식은 사용자가 파일 업로드를 시작할 수있는 인터페이스를 제공합니다. 요소의 메소드 속성을 게시하도록 설정하고 ENCTEPE 속성을 멀티 파트/양식 데이터로 설정해야합니다. 파일 요소는 업로드 할 파일을 지정하는 필드를 제공합니다. 다른 양식 요소와 마찬가지로, 이름 속성을 제공하여 양식을 처리하는 PHP 스크립트에서 참조 할 수 있도록하는 것이 중요합니다. 다음은 기본 파일 업로드 양식에 대한 표시의 예입니다.

  다른 브라우저는 파일 필드를 다른 방식으로 렌더링 할 것입니다. 즉, Firefox 및 Opera는 버튼이 표시된 텍스트 필드로 표시되거나 옆에 표시됩니다. Safari는 선택 파일로만 표시된 버튼으로 렌더링합니다. 사용자가 선택한 브라우저에서 필드가 어떻게 렌더링되는지에 익숙해지고 사용 방법을 알고 있기 때문에 일반적으로 문제가되지 않습니다. 그러나 때로는 고객이나 디자이너가 어떤 식 으로든 발표 할 것을 주장하는 고객이나 디자이너를 만납니다. 브라우저가 부과하는 보안상의 이유로 인해 파일 필드에 적용 할 수있는 CSS 및 JavaScript 수는 매우 제한적입니다. 스타일의 파일 필드는 어려울 수 있습니다. 모양이 중요하다면 Peter-Paul Koch의 스타일 입력 유형 = "파일"을 확인하는 것이 좋습니다.

  php

  파일 업로드에 대한 정보는 다차원 배열 를 통해 제공됩니다. 이 배열은

  및 <input>와 같은 html 양식의 파일 필드에 지정된 이름으로 인덱싱됩니다. 그런 다음 각 파일의 배열에는 다음 색인이 포함됩니다.

  클라이언트에서 원본 파일 이름을 저장합니다.
  • $_FILES["myFile"]["name"] 파일을 저장하는 마임 유형.
  • 파일의 크기는 바이트입니다. $_FILES["myFile"]["type"]
  임시 파일의 이름이 저장됩니다.
  • $_FILES["myFile"]["size"] 전송 중에 생성 된 오류 코드를 저장하십시오.
  • $_FILES["myFile"]["tmp_name"] 함수는 업로드 된 파일을 임시 위치에서 영구 위치로 이동합니다. 이 목적을 위해
  및
  • 대신 $_FILES["myFile"]["error"]와 같은 함수를 항상 사용해야합니다.이를 위해 추가 점검을 수행하여 파일이 실제로 HTTP 사후 요청을 통해 업로드되도록합니다. 사용자가 제공 한 원본 파일 이름으로 파일을 저장하려는 경우 안전한 지 확인하는 것이 가장 좋습니다. 파일 이름에는 슬래시와 같은 대상 경로에 영향을 줄 수있는 문자가 포함되어 있지 않아야합니다. 이름으로 인해 파일이 기존 파일을 동일한 이름으로 덮어 쓰지 않아야합니다 (응용 프로그램 디자인이 그렇지 않은 한). 비 글자, 번호 또는 매우 제한된 구두점 문자 세트를 밑줄로 바꾸어 안전한 파일 이름을 보장 한 다음 동일한 이름을 가진 파일이 이미 존재할 때 증가 된 숫자를 추가합니다. 다음은 PHP 파일 업로드를 받고 처리하는 예입니다.
  이 코드는 먼저 파일 업로드에 오류가 없도록합니다. 그런 다음 보안 파일 이름을 결정하고 (방금 언급했듯이)
  를 사용하여 파일을 최종 디렉토리로 이동합니다. 마지막으로,

  에 전화하여 새 파일에 합리적인 액세스가 설정되어 있는지 확인하십시오. move_uploaded_file() 안전 예방 조치 move_uploaded_file() copy() 대부분의 사람들은 PC에 총체적인 낯선 사람을 무작위로 저장하지 않지만 앱에 파일을 업로드 할 수있게하면 실제로 수행하고 있습니다. 사용자가 자신의 사진을 프로필 페이지로 업로드 할 계획 일 수도 있지만, 특별히 제작 된 바이러스 함유 실행 파일을 업로드하려고하면 어떻게해야합니까? 파일 업로드를 허용하는 고유 한 보안 위험을 최소화하기 위해 취할 수있는 몇 가지 단계를 공유하고 싶습니다. 단계 중 하나는 업로드 된 파일이 올바른지 확인하는 것입니다. 둘 다 위조하기 쉽기 때문에 의 값 또는 파일 이름의 확장은 안전하지 않습니다. 대신 와 같은 함수를 사용하여 파일의 내용을 확인하고 실제로 GIF, JPEG 또는 기타 여러 지원되는 이미지 형식인지 확인하십시오. rename()를 사용할 수없는 경우 (함수는 exif 확장을 활성화해야 함)를 사용할 수 있습니다. 반환 된 배열에는 이미지 유형이 포함됩니다 (인식 된 경우).

  <code>file_uploads = On</code>

  비 이미지 파일의 경우

  를 사용하여 Unix 파일 유틸리티를 호출 할 수 있습니다. 파일은 예상 위치에서 알려진 바이너리 서명을 찾아 파일 유형을 결정합니다. move_uploaded_file()

  <code>file_uploads = On</code>

  당신이 수행 할 수있는 또 다른 단계는 게시물 요청의 총 크기와 업로드 할 수있는 파일 수에 엄격한 제한을 부과하는 것입니다. 이렇게하려면 php.ini의 upload_max_size, post_max_size 및 max_file_uploads 지시문에 적절한 값을 지정하십시오. upload_max_size 지시문은 파일 업로드의 최대 크기를 지정합니다. 업로드 된 크기 외에도 Post_Max_Size 지시문을 사용하여 전체 게시물 요청의 크기를 제한 할 수도 있습니다. max_file_uploads는 파일 업로드 수를 제한하는 새로운 지침 (버전 5.2.12에 추가)입니다. 이 세 가지 지침은 많은 네트워크 트래픽 또는 시스템로드를 유발하여 가용성을 훼손하려는 공격으로부터 웹 사이트를 보호하는 데 도움이됩니다.
  세 번째 단계는 바이러스 스캐너를 사용하여 업로드 된 파일을 스캔하는 것입니다. 이것은 오늘날 광범위한 바이러스 및 맬웨어 시대에 중요합니다. 특히 웹 사이트에서 다른 개인이 웹 기반 이메일 클라이언트의 첨부 파일 또는 (법적) 파일 공유 사이트와 같은 업로드 된 파일을 나중에 다운로드 할 수있는 경우에 중요합니다. Clamav에 액세스 할 수있는 PHP 확장 기능이 있지만 물론 파일에 대해 시연 한 것처럼 Clamav의 명령 줄 유틸리티를 호출 할 수 있습니다.

  <code>upload_tmp_dir = "/tmp"
  
  tboronczyk@zarkov:~$ ls -l / | grep tmp
  drwxrwxrwt  13 root root 40960 2011-08-31 00:50 tmp</code>

  요약

  웹 사이트 나 웹 기반 응용 프로그램을 사용하여 파일 업로드를 지원하는 것이 얼마나 쉬운 지 배웠습니다. 업로드를 성공적으로 수행하려면 HTML 양식을 멀티 파트/양식 데이터 인코딩 포스트 요청을 통해 제출해야하며 PHP는 file_uploads 지시문을 사용하여 지정된 전송을 허용해야합니다. 파일을 전송 한 후 배열에있는 정보를 사용하여 업로드를 처리하는 스크립트가 임시 디렉토리에서 원하는 위치로 이동합니다. 또한 파일 업로드 허용과 관련된 일부 위험으로부터 자신과 사용자를 보호하기 위해 취할 수있는 몇 가지 추가 예방 조치를 공유합니다. 파일 이름이 안전하고 파일 유형을 확인하고 트래픽 업로드에 대한 엄격한 제한을 부과하며 바이러스를 스캔하는 방법이 있습니다.

  (FAQ 섹션과 같은 내용은 필요에 따라 추가 될 수 있음)