WEB安全-文件上传漏洞

1 需求

2 接口

move_uploaded_file

basename

pathinfo

strtolower

htmlspecialchars

move_uploaded_file() 是 PHP 中的一个函数，它用于将临时文件移动到新位置。这个函数特别在文件上传处理中非常有用，因为它允许你将用户上传的文件从 PHP 的临时存储位置移动到服务器的永久存储位置。

函数的基本语法如下：

bool move_uploaded_file ( string $source , string $destination )

• $source：这是上传文件的临时文件名，通常由 $_FILES['your_input_name']['tmp_name'] 提供。
• $destination：这是你想要将文件移动到的目标位置。

函数如果成功，则返回 TRUE；如果失败，则返回 FALSE。

以下是一个简单的示例，展示了如何使用 move_uploaded_file() 函数：

if(isset($_FILES['file'])) {
$target_dir = "uploads/"; // 目标目录
$target_file = $target_dir . basename($_FILES["file"]["name"]); // 目标文件名
$uploadOk = 1; // 初始化上传状态为成功
$imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION)); // 获取文件扩展名

// 检查文件是否已经存在
if (file_exists($target_file)) {
echo "对不起，文件已经存在。";
$uploadOk = 0;
}

// 允许特定文件格式
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
echo "对不起，只允许 JPG, JPEG, PNG & GIF 文件。";
$uploadOk = 0;
}

// 检查文件大小（可选）
if ($_FILES["file"]["size"] > 500000) { // 假设限制为 500KB
echo "对不起，您的文件过大。";
$uploadOk = 0;
}

// 如果 $uploadOk 为 1，则尝试移动文件
if ($uploadOk == 1) {
if (move_uploaded_file($_FILES["file"]["tmp_name"], $target_file)) {
echo "文件 ". htmlspecialchars( basename( $_FILES["file"]["name"])). " 已上传。";
} else {
echo "对不起，上传文件时出错。";
}
}
}

在上面的示例中，我们首先检查文件是否已经存在，然后检查文件的类型和大小。如果所有检查都通过，我们使用 move_uploaded_file() 函数将文件从临时位置移动到目标位置。

当使用 move_uploaded_file() 函数在 PHP 中上传文件时，如果目标位置的文件已经存在，move_uploaded_file() 不会自动覆盖它，它会返回一个错误并失败。

为了确保上传的文件能够成功移动，即使目标文件已经存在，你需要在调用 move_uploaded_file() 之前检查文件是否存在，并在必要时删除或重命名它。

以下是一个简单的示例，展示了如何在上传文件之前检查目标文件是否存在，并在必要时删除它：

if (isset($_FILES['file'])) {
$target_dir = "uploads/"; // 上传目录
$target_file = $target_dir . basename($_FILES["file"]["name"]); // 目标文件名
$uploadOk = 1; // 初始化上传状态为成功

// 检查文件是否已经存在
if (file_exists($target_file)) {
// 如果文件存在，你可以选择删除它或给新文件一个唯一的名称
// 示例：删除旧文件
if (unlink($target_file)) {
echo "旧文件已删除，新文件将被上传。";
} else {
echo "删除旧文件时出错。";
$uploadOk = 0;
}
}

// 这里可以继续其他文件验证，如文件大小、类型等

// 如果 $uploadOk 为 1，则尝试移动文件
if ($uploadOk == 1) {
if (move_uploaded_file($_FILES["file"]["tmp_name"], $target_file)) {
echo "文件 ". htmlspecialchars( basename( $_FILES["file"]["name"])). " 已上传。";
} else {
echo "对不起，上传文件时出错。";
}
}
}

在这个示例中，我们首先检查目标文件是否已经存在。如果存在，我们使用 unlink() 函数删除它。然后，我们检查 $uploadOk 是否仍然为 1（表示没有其他错误发生），并调用 move_uploaded_file() 函数将文件从临时位置移动到目标位置。

请注意，直接删除用户上传的文件可能不是一个好主意，因为它可能会删除重要数据或引起其他问题。在实际应用中，你可能想要为每个上传的文件生成一个唯一的文件名，以确保不会发生名称冲突。这可以通过在文件名中添加时间戳、随机字符串或递增计数器等方式实现。

3 HTML的enctype属性

enctype 属性在HTML的 <form> 标签中用于指定表单数据发送到服务器之前的编码类型。它定义了发送到服务器的数据的MIME类型，以及数据的组织方式1234。

enctype 主要有以下几种取值和作用：

1. **application/x-www-form-urlencoded**：

   • 这是默认的编码方式。
   • 它会将表单内的数据编码为名称/值对，这种格式适合常规的表单提交。
   • 在发送前，会对所有字符进行编码（例如，将空格转换为“+”号，特殊字符转换为ASCII十六进制值）123。
   • 但对于大型文件（如MP3）的传输，使用这种编码方式效率相对低下2。

2. **multipart/form-data**：

   • 主要用于文件上传功能。
   • 当表单包含 <input type="file"> 元素时，需要使用这种编码类型24。
   • 它指定传输数据编码方式为二进制，支持将表单数据（包括文本和二进制文件）分割成多个部分，每部分对应一个表单控件23。
   • 如果在文件上传时使用GET方法，文件内容不会被提交，只是文件名被编码到HTTP包的请求行的URL中，因此GET方法和enctype="multipart/form-data"配合无效，规定上传文件必须使用POST方法2。

3. **text/plain**：

   • 窗体数据以纯文本形式进行编码，其中不含任何控件或格式字符1。
   • 但这种编码方式在实际应用中使用较少。

总结：enctype 属性在文件上传时特别重要，因为它决定了表单数据如何被打包和发送到服务器。在涉及文件上传的表单中，必须使用 enctype="multipart/form-data" 以确保文件数据可以安全、完整地发送到服务器24。

3 MIME类型

在Web开发中，MIME（Multipurpose Internet Mail Extensions）类型用于标识和表示文档的格式。这些类型在HTTP请求和响应头中扮演着重要的角色，告诉浏览器如何解释和处理接收到的资源12。

以下是一些Web开发中常见的MIME类型：

1. 文本文件：

   • text/plain：表示纯文本文件1234。
   • text/html：表示HTML文档1234。
   • text/css：表示CSS样式表134。
   • text/javascript 或 application/javascript：表示JavaScript代码2。
   • application/xml 或 text/xml：表示XML文档134。

2. 图片文件：

   • image/jpeg：表示JPEG图像1234。
   • image/gif：表示GIF图像1234。
   • image/png：表示PNG图像1234。

3. 视频文件：

   • video/mp4：表示MP4视频文件12。
   • video/mpeg：表示MPEG视频文件34。
   • video/quicktime：表示QuickTime视频文件3（注意：这个类型可能不是最新的或最广泛支持的）。

4. 音频文件：

   • audio/mpeg：表示MP3音频文件12。
   • audio/ogg：表示Ogg Vorbis音频文件2。
   • audio/wav：表示WAV音频文件2。

5. 应用程序文件：

   • application/pdf：表示PDF文档124。
   • application/json：表示JSON数据124。
   • application/octet-stream：表示所有其他情况的默认值，通常用于二进制文件下载4。

6. 其他文件：

   • application/zip：表示ZIP压缩文件。
   • application/x-gzip：表示GZIP压缩文件4。

请注意，MIME类型对大小写不敏感，但传统上它们都被写为小写4。此外，MIME类型在Web开发中的正确配置对于确保浏览器能够正确解析和显示各种文件类型至关重要3。

在编写Web应用程序或处理文件上传、下载等功能时，请确保使用正确的MIME类型来标识文件，以便浏览器能够正确地处理它们。

4 参考资料