如何保護 PHP 中的圖像上傳以防止惡意攻擊？-php教程-PHP中文網

如何保護 PHP 中的圖像上傳以防止惡意攻擊？

Mary-Kate Olsen

發布： 2024-12-05 10:38:12

原創

888 人瀏覽過

How Can I Secure Image Uploads in PHP to Prevent Malicious Attacks?

確保圖片上傳安全

簡介

確保圖片上傳安全對於保護網站免受保護網站惡意攻擊至關重要攻擊。雖然 PHP 提供了多種內建的影像處理函數，但必須實施額外的措施來防止未經授權的存取和利用。

挑戰

影像上傳安全涉及解決以下挑戰：

檔案類型驗證：確保上傳檔案允許副檔名，例如JPEG、PNG 和GIF，以防止惡意程式碼執行。
內容類型驗證： 驗證文件的MIME 類型與聲明的文件類型匹配，以防止潛在的潛在威脅
本地文件包含(LFI) 攻擊： 防止攻擊者利用伺服器漏洞存取受保護的文件，例如上傳惡意映像。
暴露於外部存取：限制上傳影像的訪問，以防止未經授權的下載或檢視。

安全上傳腳本

要解決這些問題，請實施以下操作步驟：

第 1步驟：文件類型驗證

if (!in_array($ext, $whitelist_ext)) {
  $out['error'][] = "Invalid file Extension";
}

登入後複製

第 2步驟：內容類型驗證

if (!in_array($_FILES[$file_field]["type"], $whitelist_type)) {
  $out['error'][] = "Invalid file Type";
}

登入後複製

第3步：防止LFI攻擊

重新命名的文件並將其儲存在安全的地方位於文件根目錄之外。使用資料庫追蹤原始檔案名稱以供顯示。

步驟4：限制外部存取

僅允許透過以下方式存取上傳的影像用於驗證檔案在資料庫中是否存在的安全腳本。

圖片處理

除了確保上傳過程的安全之外，還必須使用GD 庫或類似工具處理上傳的圖像，以確保它們是合法圖像而不是可執行檔。

完整腳本

完整的安全圖像上傳腳本可以包含以下內容elements:

// Config Section
$path = 'uploads/';
$max_size = 1000000;
$whitelist_ext = array('jpeg','jpg','png','gif');
$whitelist_type = array('image/jpeg', 'image/jpg', 'image/png','image/gif');

// Validation
if (count($out['error'])>0) {
    return $out;
}

if (move_uploaded_file($_FILES[$file_field]['tmp_name'], $path.$newname)) {

    // Success
    $out['filepath'] = $path;
    $out['filename'] = $newname;
    return $out;
} else {
    $out['error'][] = "Server Error!";
}

// If no file was uploaded
if (count($out['error'])>0) {
    // The file has not correctly validated
    return $out;
}

登入後複製

額外措施