文件上傳攻擊

  有時在除了標準的表單數據外，你還需要讓用戶進行文件上傳。由于文件在表單中傳送時與其它的表單數據不同，你必須指定一個特別的編碼方式multipart/form-data：

CODE:

 

<form action="upload.php" method="POST" enctype="multipart/form-data">

一個同時有普通表單數據和文件的表單是一個特殊的格式，而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。

  允許用戶進行選擇文件并上傳的表單元素是很簡單的：

CODE:

 

<input type="file" name="attachment" />

該元素在各種瀏覽器中的外觀表現形式各有不同。傳統上，界面上包括一個標準的文本框及一個瀏覽按鈕，以使用戶能直接手工錄入文件的路徑或通過瀏覽選擇。在Safari瀏覽器中只有瀏覽按鈕。幸運的是，它們的作用與行為是相同的。

  為了更好地演示文件上傳機制，下面是一個允許用戶上傳附件的例子：

CODE:

 

  <form action="upload.php" method="POST" enctype="multipart/form-data">

  <p>Please choose a file to upload:

  <input type="hidden" name="MAX_FILE_SIZE" value="1024" />

  <input type="file" name="attachment" /><br />

  <input type="submit" value="Upload Attachment" /></p>

  </form>

隱藏的表單變量MAX_FILE_SIZE告訴了瀏覽器最大允許上傳的文件大小。與很多客戶端限制相同，這一限制很容易被攻擊者繞開，但它可以為合法用戶提供向導。在服務器上進行該限制才是可靠的。

  PHP的配置變量中，upload_max_filesize控制最大允許上傳的文件大小。同時post_max_size（POST表單的最大提交數據的大小）也能潛在地進行控制，因為文件是通過表單數據進行上傳的。

  接收程序upload.php顯示了超級全局數組$_FILES的內容：

CODE:

 

 <?php

 

  header('Content-Type: text/plain');

  print_r($_FILES);

 

  ?>

為了理解上傳的過程，我們使用一個名為author.txt的文件進行測試，下面是它的內容：

CODE:

 

  Chris Shiflett

  http://shiflett.org/

當你上傳該文件到upload.php程序時，你可以在瀏覽器中看到類似下面的輸出：

CODE:

 

  Array

  (

      [attachment] => Array

          (

              [name] => author.txt

              [type] => text/plain

              [tmp_name] => /tmp/phpShfltt

              [error] => 0

              [size] => 36

          )

 

  )

 雖然從上面可以看出PHP實際在超級全局數組$_FILES中提供的內容，但是它無法給出表單數據的原始信息。作為一個關注安全的開發者，需要識別輸入以知道瀏覽器實際發送了什么，看一下下面的HTTP請求信息是很有必要的：

CODE:

 

 POST /upload.php HTTP/1.1

  Host: example.org

  Content-Type: multipart/form-data; boundary=----------12345

  Content-Length: 245

 

  ----------12345

  Content-Disposition: form-data; name="attachment"; filename="author.txt"

  Content-Type: text/plain

 

  Chris Shiflett

  http://shiflett.org/

 

  ----------12345

  Content-Disposition: form-data; name="MAX_FILE_SIZE"

 

  1024

  ----------12345--

雖然你沒有必要理解請求的格式，但是你要能識別出文件及相關的元數據。用戶只提供了名稱與類型，因此tmp_name，error及size都是PHP所提供的。

  由于PHP在文件系統的臨時文件區保存上傳的文件（本例中是/tmp/phpShfltt），所以通常進行的操作是把它移到其它地方進行保存及讀取到內存。如果你不對tmp_name作檢查以確保它是一個上傳的文件（而不是/etc/passwd之類的東西），存在一個理論上的風險。之所以叫理論上的風險，是因為沒有一種已知的攻擊手段允許攻擊者去修改tmp_name的值。但是，沒有攻擊手段并不意味著你不需要做一些簡單的安全措施。新的攻擊手段每天在出現，而簡單的一個步驟能保護你的系統。

  PHP提供了兩個方便的函數以減輕這些理論上的風險：is_uploaded_file( ) and move_uploaded_file( )。如果你需要確保tmp_name中的文件是一個上傳的文件，你可以用is_uploaded_file( )：

CODE:

 

  <?php

 

  $filename = $_FILES['attachment']['tmp_name'];

 

  if (is_uploaded_file($filename))

  {

    /* $_FILES['attachment']['tmp_name'] is an uploaded file. */

  }

 

  ?>

如果你希望只把上傳的文件移到一個固定位置，你可以使用move_uploaded_file( )：

CODE:

 

 <?php

 

  $old_filename = $_FILES['attachment']['tmp_name'];

  $new_filename = '/path/to/attachment.txt';

 

  if (move_uploaded_file($old_filename, $new_filename))

  {

    /* $old_filename is an uploaded file, and the move was successful. */

  }

 

  ?>

最后你可以用 filesize( ) 來校驗文件的大小：

CODE:

 

  <?php

 

  $filename = $_FILES['attachment']['tmp_name'];

 

  if (is_uploaded_file($filename))

  {

    $size = filesize($filename);

  }

 

  ?>

這些安全措施的目的是加上一層額外的安全保護層。最佳的方法是永遠盡可能少地去信任。