一聚教程网:一个值得你收藏的教程网站

热门教程

php7.4文件管理安全:文件上传组件黑白名单过滤策略【安全】

时间:2026-06-30 09:15:51 编辑:袖梨 来源:一聚教程网

PHP 7.4 中仅靠 in_array() 做黑白名单过滤无法防御恶意文件上传,必须结合 pathinfo() 提取扩展名、finfo_file() 校验真实 MIME 类型及权限隔离才有效;黑名单已基本失效。

PHP 7.4 中仅靠 in_array() 做黑白名单过滤,根本挡不住恶意文件上传——白名单必须配合 pathinfo()finfo_file() 和权限隔离才真正有效;黑名单在 PHP 7.4 下几乎形同虚设,绕过方式太多。

$_FILES['file']['name'] 的扩展名提取必须用 pathinfo()

很多人用 substr(strrchr($filename, '.'), 1)explode('.', $filename) 提取后缀,这会出问题:

  • abc.(末尾带点)→ explode 返回 ['abc', '']end() 得空字符串,in_array('', $whitelist) 失败但没报错,可能漏放行
  • shell.php.jpgexplode 取最后一个是 jpg,看似合法,实则可能触发 Apache 多后缀解析漏洞
  • shell.PHP → 不转小写直接比对,in_array('PHP', $whitelist) 返回 false,误拒合法文件

正确做法只有一条:$ext = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION));。它能稳定处理无扩展名、多点、大小写混杂等边界情况。

白名单判断必须在 move_uploaded_file() 之前且检查 $_FILES['file']['error']

常见错误是先移动再校验,或忽略 error 状态:

立即学习“PHP免费学习笔记(深入)”;

  • $_FILES['file']['error'] !== UPLOAD_ERR_OK 时(比如值为 1/2/4),tmp_name 可能为空或无效,后续 finfo_file() 会警告甚至失败
  • move_uploaded_file() 写在白名单判断前,等于先把恶意文件落地到临时目录,再删也晚了
  • 没检查 error 就直接读 tmp_name,可能触发 “failed to open stream” 错误,暴露路径或引发未定义行为

顺序必须是:if ($_FILES['file']['error'] === UPLOAD_ERR_OK) { $ext = ...; if (in_array($ext, $allowed)) { $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo); if (in_array($mime, ['image/jpeg', 'image/png'])) { /* 生成唯一文件名 + move */ } } }

黑名单在 PHP 7.4 下基本无效,别再用了

PHP 7.4 默认禁用 %00 截断,但黑名单仍极易绕过:

  • 后缀混淆:.php5.phtml.php7 不在常见黑名单里
  • 大小写:.Php.PHTML —— 黑名单若没统一转小写,就失效
  • Windows 特性:shell.php.shell.php[空格] 保存后自动修剪,绕过检测
  • MIME 伪造:Content-Type: image/png 抓包改一下,服务器若只校验 type 就中招

如果你看到代码里还写着 $blacklist = ['php', 'jsp', 'asp'];,请立刻删掉——它给开发者虚假安全感,实际毫无防护力。

真正起作用的是文件内容 + 存储环境双重控制

白名单只是第一关,后面两步缺一不可:

  • finfo_file() 校验真实 MIME 类型:浏览器传的 $_FILES['file']['type'] 完全可伪造,必须用 libmagic 读二进制头
  • 生成唯一文件名:uniqid() . '.' . $safe_ext,绝不能拼接原始 $_FILES['file']['name']
  • 存储路径权限隔离:上传目录不能在 Web 根目录下;若必须放在 Web 可访问路径,Nginx 要加 location ~ .php$ { deny all; },Apache 要禁用 Options +ExecCGI

PDF 或 Office 文件即使通过白名单,也可能含恶意宏或 JS,这类业务需额外调用 pdfinfooletools 扫描——白名单管不到这一层。

热门栏目