完整的安全图像上传脚本
Posted
技术标签:
【中文标题】完整的安全图像上传脚本【英文标题】:Full Secure Image Upload Script 【发布时间】:2016-11-25 08:20:11 【问题描述】:我不知道这是否会发生,但我会试试看。
在过去的一个小时里,我对图片上传安全进行了研究。我了解到有很多功能可以测试上传。
在我的项目中,我需要确保上传图片的安全。它的数量也可能非常大,并且可能需要大量带宽,因此购买 API 不是一种选择。
所以我决定获取一个完整的 php 脚本来真正安全地上传图片。我也认为这对很多人会有帮助,因为不可能找到真正安全的人。但是我不是php专家,所以添加一些功能让我很头疼,所以我会请求这个社区帮助创建一个真正安全的图像上传的完整脚本。
关于这个的真正伟大的话题在这里(然而,他们只是告诉你需要什么才能做到这一点,而不是如何做到这一点,正如我所说,我不是 PHP 大师,所以我无法自己做这一切): PHP image upload security check list https://security.stackexchange.com/questions/32852/risks-of-a-php-image-upload-form
总之,他们说这是安全图像上传所需要的(我将引用上述页面):
使用 .httaccess 禁止 PHP 在上传文件夹中运行。 如果文件名包含字符串“php”,则不允许上传。 只允许扩展名:jpg、jpeg、gif 和 png。 只允许图像文件类型。 禁止使用两种文件类型的图像。 更改图像名称。上传到子目录而不是根目录。还有:
使用 GD(或 Imagick)重新处理图像并保存处理后的图像。所有其他人对黑客来说都是无聊的” 正如 rr 指出的那样,使用 move_uploaded_file() 进行任何上传” 顺便说一下,您希望对上传文件夹进行非常严格的限制。这些地方是许多漏洞利用的黑暗角落之一 发生。这适用于任何类型的上传和任何编程 语言/服务器。检查https://www.owasp.org/index.php/Unrestricted_File_Upload 级别 1:检查扩展名(扩展名文件以结尾) 第 2 级:检查 MIME 类型 ($file_info = getimagesize($_FILES['image_file']; $file_mime = $file_info['mime'];) 级别 3:读取前 100 个字节并检查它们是否有以下范围内的字节:ASCII 0-8、12-31(十进制)。 级别 4:检查标头中的幻数(文件的前 10-20 个字节)。您可以从中找到一些文件头字节 在这里:http://en.wikipedia.org/wiki/Magic_number_%28programming%29#Examples 您可能还想在 $_FILES['my_files']['tmp_name'] 上运行“is_uploaded_file”。见http://php.net/manual/en/function.is-uploaded-file.php
这是其中很大一部分,但还不是全部。 (如果您知道更多可以帮助上传更安全的信息,请分享。)
这就是我们现在所拥有的
主要PHP:
function uploadFile ($file_field = null, $check_image = false, $random_name = false)
//Config Section
//Set file upload path
$path = 'uploads/'; //with trailing slash
//Set max file size in bytes
$max_size = 1000000;
//Set default file extension whitelist
$whitelist_ext = array('jpeg','jpg','png','gif');
//Set default file type whitelist
$whitelist_type = array('image/jpeg', 'image/jpg', 'image/png','image/gif');
//The Validation
// Create an array to hold any output
$out = array('error'=>null);
if (!$file_field)
$out['error'][] = "Please specify a valid form field name";
if (!$path)
$out['error'][] = "Please specify a valid upload path";
if (count($out['error'])>0)
return $out;
//Make sure that there is a file
if((!empty($_FILES[$file_field])) && ($_FILES[$file_field]['error'] == 0))
// Get filename
$file_info = pathinfo($_FILES[$file_field]['name']);
$name = $file_info['filename'];
$ext = $file_info['extension'];
//Check file has the right extension
if (!in_array($ext, $whitelist_ext))
$out['error'][] = "Invalid file Extension";
//Check that the file is of the right type
if (!in_array($_FILES[$file_field]["type"], $whitelist_type))
$out['error'][] = "Invalid file Type";
//Check that the file is not too big
if ($_FILES[$file_field]["size"] > $max_size)
$out['error'][] = "File is too big";
//If $check image is set as true
if ($check_image)
if (!getimagesize($_FILES[$file_field]['tmp_name']))
$out['error'][] = "Uploaded file is not a valid image";
//Create full filename including path
if ($random_name)
// Generate random filename
$tmp = str_replace(array('.',' '), array('',''), microtime());
if (!$tmp || $tmp == '')
$out['error'][] = "File must have a name";
$newname = $tmp.'.'.$ext;
else
$newname = $name.'.'.$ext;
//Check if file already exists on server
if (file_exists($path.$newname))
$out['error'][] = "A file with this name already exists";
if (count($out['error'])>0)
//The file has not correctly validated
return $out;
if (move_uploaded_file($_FILES[$file_field]['tmp_name'], $path.$newname))
//Success
$out['filepath'] = $path;
$out['filename'] = $newname;
return $out;
else
$out['error'][] = "Server Error!";
else
$out['error'][] = "No file uploaded";
return $out;
if (isset($_POST['submit']))
$file = uploadFile('file', true, true);
if (is_array($file['error']))
$message = '';
foreach ($file['error'] as $msg)
$message .= '<p>'.$msg.'</p>';
else
$message = "File uploaded successfully".$newname;
echo $message;
还有形式:
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" enctype="multipart/form-data" name="form1" id="form1">
<input name="file" type="file" id="imagee" />
<input name="submit" type="submit" value="Upload" />
</form>
所以,我的要求是通过发布代码的 sn-ps 来提供帮助,这将帮助我(和其他所有人)使这个图像上传脚本变得超级安全。 或者通过共享/创建一个添加了所有 sn-ps 的完整脚本。
【问题讨论】:
由于我对这个问题的回答不断获得支持,让我解释一下对您的问题的反对意见:如果您的代码有问题,Stack Overflow 是一个寻求帮助的地方。它不是寻找改进工作代码的地方(Code Review 是其网站),也不是寻找或请求教程的地方。仅仅因为(如您所见),需要写半本书才能给出一个好的和正确的答案。观看次数只是因为您提供了赏金。不是因为每个人都需要这个:) @icecub 我相信仍有人在寻找这个答案并且很高兴你已经回答了。 是的,似乎很多人在其他问题中都链接到它,因为很多人没有意识到他们的上传脚本不安全。不过我没想到它会得到这么多的赞成票。现在很少见了。 感谢西蒙的提问。你得到了我的选票。我不得不在整个网络上查找您已经在您的问题中编译的信息。 糟糕,不是完全安全<?php echo $_SERVER['PHP_SELF']; ?>
容易受到跨站点脚本攻击。
【参考方案1】:
当您开始编写安全的图片上传脚本时,需要考虑很多事情。现在我离这方面的专家还差得很远,但过去我曾被要求开发一次。我将介绍我在这里经历的整个过程,以便您可以跟进。为此,我将从一个非常基本的 html 表单和处理文件的 php 脚本开始。
HTML 表单:
<form name="upload" action="upload.php" method="POST" enctype="multipart/form-data">
Select image to upload: <input type="file" name="image">
<input type="submit" name="upload" value="upload">
</form>
PHP 文件:
<?php
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['image']['name']);
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile))
echo "Image succesfully uploaded.";
else
echo "Image uploading failed.";
?>
第一个问题:文件类型 攻击者不必使用您网站上的表单将文件上传到您的服务器。可以通过多种方式拦截 POST 请求。想想浏览器插件、代理、Perl 脚本。无论我们如何努力,我们都无法阻止攻击者尝试上传他们不应该上传的内容。所以我们所有的安全都必须在服务器端完成。
第一个问题是文件类型。在上面的脚本中,攻击者可以上传他们想要的任何内容,例如 php 脚本,然后通过直接链接执行它。所以为了防止这种情况,我们实现了内容类型验证:
<?php
if($_FILES['image']['type'] != "image/png")
echo "Only PNG images are allowed!";
exit;
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['image']['name']);
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile))
echo "Image succesfully uploaded.";
else
echo "Image uploading failed.";
?>
不幸的是,这还不够。正如我之前提到的,攻击者可以完全控制请求。没有什么可以阻止他/她修改请求标头,只需将内容类型更改为“image/png”。因此,与其仅仅依赖 Content-type 标头,还不如验证上传文件的内容。这是 php GD 库派上用场的地方。使用getimagesize()
,我们将使用GD 库处理图像。如果不是图片,则会失败,因此整个上传都会失败:
<?php
$verifyimg = getimagesize($_FILES['image']['tmp_name']);
if($verifyimg['mime'] != 'image/png')
echo "Only PNG images are allowed!";
exit;
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['image']['name']);
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile))
echo "Image succesfully uploaded.";
else
echo "Image uploading failed.";
?>
虽然我们还没有到达那里。大多数图像文件类型都允许向其中添加文本 cmets。同样,没有什么能阻止攻击者添加一些 php 代码作为注释。 GD 库会将其评估为完全有效的图像。 PHP 解释器将完全忽略图像并运行注释中的 php 代码。确实,这取决于 php 配置,哪些文件扩展名由 php 解释器处理,哪些不处理,但由于使用 VPS,有许多开发人员无法控制此配置,我们不能假设php 解释器不会处理图像。这就是为什么添加文件扩展名白名单也不够安全的原因。
解决方案是将图像存储在攻击者无法直接访问文件的位置。这可能位于文档根目录之外或受 .htaccess 文件保护的目录中:
order deny,allow
deny from all
allow from 127.0.0.1
编辑:在与其他一些 PHP 程序员交谈后,我强烈建议使用文档根目录之外的文件夹,因为 htaccess 并不总是可靠的。
我们仍然需要用户或任何其他访问者能够查看图像。所以我们将使用 php 为他们检索图像:
<?php
$uploaddir = 'uploads/';
$name = $_GET['name']; // Assuming the file name is in the URL for this example
readfile($uploaddir.$name);
?>
第二个问题:本地文件包含攻击 尽管我们的脚本现在相当安全,但我们不能假设服务器没有受到其他漏洞的影响。一个常见的安全漏洞称为本地文件包含。为了解释这一点,我需要添加一个示例代码:
<?php
if(isset($_COOKIE['lang']))
$lang = $_COOKIE['lang'];
elseif (isset($_GET['lang']))
$lang = $_GET['lang'];
else
$lang = 'english';
include("language/$lang.php");
?>
在本例中,我们讨论的是多语言网站。网站语言不被视为“高风险”信息。我们尝试通过 cookie 或 GET 请求获取访问者的首选语言,并根据它包含所需的文件。现在考虑当攻击者输入以下 url 时会发生什么:
www.example.com/index.php?lang=../uploads/my_evil_image.jpg
PHP 将包含攻击者上传的文件,绕过了他们无法直接访问该文件的事实,我们又回到了第一步。
解决这个问题的方法是确保用户不知道服务器上的文件名。相反,我们将使用数据库更改文件名甚至扩展名来跟踪它:
CREATE TABLE `uploads` (
`id` INT(11) NOT NULL AUTO_INCREMENT,
`name` VARCHAR(64) NOT NULL,
`original_name` VARCHAR(64) NOT NULL,
`mime_type` VARCHAR(20) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;
<?php
if(!empty($_POST['upload']) && !empty($_FILES['image']) && $_FILES['image']['error'] == 0))
$uploaddir = 'uploads/';
/* Generates random filename and extension */
function tempnam_sfx($path, $suffix)
do
$file = $path."/".mt_rand().$suffix;
$fp = @fopen($file, 'x');
while(!$fp);
fclose($fp);
return $file;
/* Process image with GD library */
$verifyimg = getimagesize($_FILES['image']['tmp_name']);
/* Make sure the MIME type is an image */
$pattern = "#^(image/)[^\s\n<]+$#i";
if(!preg_match($pattern, $verifyimg['mime'])
die("Only image files are allowed!");
/* Rename both the image and the extension */
$uploadfile = tempnam_sfx($uploaddir, ".tmp");
/* Upload the file to a secure directory with the new name and extension */
if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile))
/* Setup a database connection with PDO */
$dbhost = "localhost";
$dbuser = "";
$dbpass = "";
$dbname = "";
// Set DSN
$dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;
// Set options
$options = array(
PDO::ATTR_PERSISTENT => true,
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
);
try
$db = new PDO($dsn, $dbuser, $dbpass, $options);
catch(PDOException $e)
die("Error!: " . $e->getMessage());
/* Setup query */
$query = 'INSERT INTO uploads (name, original_name, mime_type) VALUES (:name, :oriname, :mime)';
/* Prepare query */
$db->prepare($query);
/* Bind parameters */
$db->bindParam(':name', basename($uploadfile));
$db->bindParam(':oriname', basename($_FILES['image']['name']));
$db->bindParam(':mime', $_FILES['image']['type']);
/* Execute query */
try
$db->execute();
catch(PDOException $e)
// Remove the uploaded file
unlink($uploadfile);
die("Error!: " . $e->getMessage());
else
die("Image upload failed!");
?>
所以现在我们做了以下事情:
我们创建了一个安全的地方来保存图片 我们已经使用 GD 库处理了图像 我们检查了图像 MIME 类型 我们已重命名文件名并更改了扩展名 我们已在数据库中保存了新文件名和原始文件名 我们还在数据库中保存了 MIME 类型我们仍然需要能够向访问者显示图像。我们只需使用数据库的 id 列即可:
<?php
$uploaddir = 'uploads/';
$id = 1;
/* Setup a database connection with PDO */
$dbhost = "localhost";
$dbuser = "";
$dbpass = "";
$dbname = "";
// Set DSN
$dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;
// Set options
$options = array(
PDO::ATTR_PERSISTENT => true,
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
);
try
$db = new PDO($dsn, $dbuser, $dbpass, $options);
catch(PDOException $e)
die("Error!: " . $e->getMessage());
/* Setup query */
$query = 'SELECT name, original_name, mime_type FROM uploads WHERE id=:id';
/* Prepare query */
$db->prepare($query);
/* Bind parameters */
$db->bindParam(':id', $id);
/* Execute query */
try
$db->execute();
$result = $db->fetch(PDO::FETCH_ASSOC);
catch(PDOException $e)
die("Error!: " . $e->getMessage());
/* Get the original filename */
$newfile = $result['original_name'];
/* Send headers and file to visitor */
header('Content-Description: File Transfer');
header('Content-Disposition: attachment; filename='.basename($newfile));
header('Expires: 0');
header('Cache-Control: must-revalidate');
header('Pragma: public');
header('Content-Length: ' . filesize($uploaddir.$result['name']));
header("Content-Type: " . $result['mime_type']);
readfile($uploaddir.$result['name']);
?>
借助此脚本,访问者将能够查看图像或使用原始文件名下载图像。但是,他们无法直接访问您服务器上的文件,也无法欺骗您的服务器为他/她访问该文件,因为他们无法知道它是哪个文件。他们也不能暴力破解您的上传目录,因为它根本不允许任何人访问该目录,除了服务器本身。
我的安全图片上传脚本到此结束。
我想补充一点,我没有在此脚本中包含最大文件大小,但您自己应该很容易做到这一点。
ImageUpload 类 由于这个脚本的高需求,我编写了一个 ImageUpload 类,它应该可以让你们所有人更容易安全地处理网站访问者上传的图像。该类可以同时处理单个文件和多个文件,并为您提供显示、下载和删除图像等附加功能。
由于代码太大,无法在此处发布,您可以在此处从 MEGA 下载课程:
Download ImageUpload Class
只需阅读 README.txt 并按照说明进行操作。
开源 Image Secure 课程项目现在也可以在我的Github 个人资料中找到。这样其他人(您?)就可以为该项目做出贡献,并使其成为适合所有人的优秀库。
【讨论】:
getimagesize()
函数明确指出您不应使用此函数来验证图像是否为图像。 Do not use getimagesize() to check that a given file is a valid image. Use a purpose-built solution such as the Fileinfo extension instead.
php.net/manual/en/function.getimagesize.php
这适用于多次上传吗?例如,我在一个表单中上传 3 张图片提交?
@Foobarer 你是直接下载的还是从 Github 上下载的?因为 Github 目前有问题。我寻求其他人的帮助,但他把事情搞砸了,所以我正在努力。
@Foobarer 是的,只需使用“image.php”文件作为图像元素的 src 属性值。喜欢:<img src='image.php?id=1'>
。那应该可以。
@pileup 请将有关您的具体情况的问题直接发送到您在自述文件的常见问题部分中找到的电子邮件地址。这样一来,这里的 cmets 列表就很清楚了。至于您的问题:确保您从 Mega 下载了一个,而 不是 在 Github 上下载了一个。我让另一个人帮我解决了这个问题,他把那个搞砸了。仍然没有时间修复 Github,所以它不起作用。【参考方案2】:
这里是另一个提示。不要依赖 ['type'] 元素,它太不可靠了。而是检查文件头本身以查看文件类型实际上是什么。像这样:
<?php
// open the file and check header
$tempfile = $FILES['tmp_name'];
if (!($handle = fopen($tempfile, 'rb')))
echo 'open file failed';
fclose($handle);
exit;
else
$hdr = fread($handle, 12); //should grab first 12 of header
fclose($handle);
//now check the header results
$subheaderpre = substr($hdr, 0, 12);
$subheader = trim($subheaderpre);
//get hex value to check png
$getbytes = substr($subheader, 0, 8);
$hxval = bin2hex($getbytes);
if ((substr($subheader, 0, 4) == "\xff\xd8\xff\xe0") && (substr($subheader, 6, 5) == "JFIF\x00"))
//passed jpg test
elseif($hxval == "89504e470d0a1a" || substr($subheader, 0, 8) == "\x89PNG\x0d\x0a\x1a\x0a")
//passed png test
else
//fail both
echo 'Sorry but image failed to validate, try another image';
exit;
//close else elseif else
//close else ! $handle
【讨论】:
【参考方案3】:用 PHP 上传文件既简单又安全。 我建议学习:
pathinfo - 返回有关文件路径的信息 move_uploaded_file - 将上传的文件移动到新位置 copy - 复制文件 finfo_open - 创建一个新的fileinfo
资源
要在 PHP 中上传文件,您有两种方法:PUT
和 POST
。
要在 HTML 中使用 POST
方法,您需要在表单上启用 enctype
,如下所示:
<form action="" method="post" enctype="multipart/form-data">
<input type="file" name="file">
<input type="submit" value="Upload">
</form>
然后在您的 PHP 中,您需要使用 $_FILES
获取您上传的文件,如下所示:
$_FILES['file']
然后您需要使用move_uploaded_file
将文件从 temp("upload") 移出:
if (move_uploaded_file($_FILES['file']['tmp_name'], YOUR_PATH))
// ...
上传文件后,您需要检查文件的扩展名。最好的方法是像这样使用pathinfo
:
$extension = pathinfo($_FILES['file']['tmp_name'], PATHINFO_EXTENSION);
但扩展名并不安全,因为您可以上传扩展名为 .jpg
但 mimetype 为 text/php
的文件,这是一个后门。
所以,我建议像这样使用finfo_open
检查真正的mimetype:
$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $_FILES['file']['tmp_name']);
不要使用$_FILES['file']['type']
,因为有时,
根据您的浏览器和客户端操作系统,您可能会收到
application/octet-stream
而这个 mimetype 不是真实的
您上传的文件的 mimetype。
我认为您可以在这种情况下安全地上传文件。
对不起我的英语,再见!
【讨论】:
您好,谢谢您的回答。但是,我认为它不能完全回答我的问题。我有包含您提到的所有功能的脚本。但是,它并不能使脚本完全安全,因为我们可以在这里阅读security.stackexchange.com/questions/32852/…。我希望有人会提供(无需编写代码,也许有人已经拥有它)上一个答案中提到的所有功能,这将使图像上传脚本尽可能安全。不过,再次感谢您为回答这个问题所做的努力。 @Simon 在图像部分,在存储和显示图像时需要考虑很多事情。我希望在这个平台上会有很多人帮助你存储零件。但关于显示部分,我会建议你通过这个php.net/manual/en/book.imagick.php以上是关于完整的安全图像上传脚本的主要内容,如果未能解决你的问题,请参考以下文章