Трябва да внедря защитен PHP скрипт за качване на файл. Какви текущи методи използвате, за да гарантирате, че вашият скрипт е защитен?
Ще поставя разрешените разширения в белия списък и ще гарантирам, че Apache работи като потребител, за да избегна необходимостта от разрешения 777 по подразбиране.
Качените файлове ще бъдат изображения и имам достъп до MySQL. Потребителите ще трябва да могат да виждат своите файлове, след като бъдат качени.
Благодаря!
За някои съвети за избягване на качването на злонамерени файлове вижте отговорите на Начини да спрете хората да качват GIF файлове с инжекции в тях?.
Другото важно нещо е да избягвате SQL инжектирането. Всички данни, които могат да бъдат модифицирани от атакуващ (бисквитки, потребителски агенти, низ на заявка, POST данни (включително имена на качени файлове), заглавки, динамични имена на пътища и т.н.), не трябва да се използват, без да бъдат предадени през mysql_real_escape_string или Еквивалент на MySQLi първо. В случай на цели числа, използвайте функцията intval().
Направете каквото казвате, за да проверите файловите разширения, но за да проверите дали качен файл с правилно разширение наистина е това, което казва, че е, опитайте пускайки го през imagemagick с помощта на командата verify. Това е просто решение, което изглежда един от малкото начини да се гарантира без сянка на съмнение, че изображението е такова, каквото се представя.
Освен това използвайте PHP функцията is_uploaded_file, за да добавите допълнителен ниво на сигурност.
Надяваме се, че това се разбира от само себе си, но PDO трябва да се използва за транзакции с бази данни във всички аспекти на PHP.
И накрая, не забравяйте, че ако използвате javascript за каквато и да е проверка, той може лесно да бъде заменен от полукомпетентен уеб потребител. Валидирането от страна на клиента е по-отзивчиво към потребителя, но винаги го архивирайте с подходящи проверки от страна на сървъра.
nastyvirus.exeнаcutekittens.jpg. Промяната на uid на apache също е доста безполезна. Правилно внедрен скрипт за изтегляне не би се интересувал кой е действителният потребител - така или иначе би ограничил потребителя само до неговите файлове чрез някакво външно средство за присвояване на собственост, напр. база данни. - person Marc B schedule 17.09.2012['type'], предоставено от отдалечения потребител, да не говорим за името на отдалечения файл. съвършено валиден mimetype може да има вградени злонамерени неща, но поне малко затруднявате на атакуващия да направи каквото и да било, вместо да оставяте входната врата широко отворена с hackme стикери навсякъде. - person Marc B schedule 17.09.2012