最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
php7.4文件管理安全:文件上传组件黑白名单过滤策略【安全】
时间:2026-06-30 09:15:51 编辑:袖梨 来源:一聚教程网
PHP 7.4 中仅靠 in_array() 做黑白名单过滤无法防御恶意文件上传,必须结合 pathinfo() 提取扩展名、finfo_file() 校验真实 MIME 类型及权限隔离才有效;黑名单已基本失效。
PHP 7.4 中仅靠 in_array() 做黑白名单过滤,根本挡不住恶意文件上传——白名单必须配合 pathinfo()、finfo_file() 和权限隔离才真正有效;黑名单在 PHP 7.4 下几乎形同虚设,绕过方式太多。
$_FILES['file']['name'] 的扩展名提取必须用 pathinfo()
很多人用 substr(strrchr($filename, '.'), 1) 或 explode('.', $filename) 提取后缀,这会出问题:
-
abc.(末尾带点)→explode返回['abc', ''],end()得空字符串,in_array('', $whitelist)失败但没报错,可能漏放行 -
shell.php.jpg→explode取最后一个是jpg,看似合法,实则可能触发 Apache 多后缀解析漏洞 -
shell.PHP→ 不转小写直接比对,in_array('PHP', $whitelist)返回 false,误拒合法文件
正确做法只有一条:$ext = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION));。它能稳定处理无扩展名、多点、大小写混杂等边界情况。
白名单判断必须在 move_uploaded_file() 之前且检查 $_FILES['file']['error']
常见错误是先移动再校验,或忽略 error 状态:
立即学习“PHP免费学习笔记(深入)”;
-
$_FILES['file']['error'] !== UPLOAD_ERR_OK时(比如值为 1/2/4),tmp_name可能为空或无效,后续finfo_file()会警告甚至失败 - 把
move_uploaded_file()写在白名单判断前,等于先把恶意文件落地到临时目录,再删也晚了 - 没检查 error 就直接读
tmp_name,可能触发 “failed to open stream” 错误,暴露路径或引发未定义行为
顺序必须是:if ($_FILES['file']['error'] === UPLOAD_ERR_OK) { $ext = ...; if (in_array($ext, $allowed)) { $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo); if (in_array($mime, ['image/jpeg', 'image/png'])) { /* 生成唯一文件名 + move */ } } }
黑名单在 PHP 7.4 下基本无效,别再用了
PHP 7.4 默认禁用 %00 截断,但黑名单仍极易绕过:
- 后缀混淆:
.php5、.phtml、.php7不在常见黑名单里 - 大小写:
.Php、.PHTML—— 黑名单若没统一转小写,就失效 - Windows 特性:
shell.php.、shell.php[空格]保存后自动修剪,绕过检测 - MIME 伪造:
Content-Type: image/png抓包改一下,服务器若只校验 type 就中招
如果你看到代码里还写着 $blacklist = ['php', 'jsp', 'asp'];,请立刻删掉——它给开发者虚假安全感,实际毫无防护力。
真正起作用的是文件内容 + 存储环境双重控制
白名单只是第一关,后面两步缺一不可:
-
finfo_file()校验真实 MIME 类型:浏览器传的$_FILES['file']['type']完全可伪造,必须用 libmagic 读二进制头 - 生成唯一文件名:
uniqid() . '.' . $safe_ext,绝不能拼接原始$_FILES['file']['name'] - 存储路径权限隔离:上传目录不能在 Web 根目录下;若必须放在 Web 可访问路径,Nginx 要加
location ~ .php$ { deny all; },Apache 要禁用Options +ExecCGI
PDF 或 Office 文件即使通过白名单,也可能含恶意宏或 JS,这类业务需额外调用 pdfinfo 或 oletools 扫描——白名单管不到这一层。
相关文章
- 罗技驱动怎么恢复默认配置-罗技驱动如何将配置还原为默认 07-02
- 奇门角色加点方法-奇门角色如何加点 07-02
- 炉石传说紫罗兰条令卡牌图鉴什么样的-炉石传说紫罗兰条令卡牌图鉴介绍 07-02
- 以撒的结合重生新手开荒教学实况视频 新手怎么开荒 07-02
- 《桌面副本物语》热闹非凡的桌面挂机游戏 07-02
- 桌面副本物语 组建英雄小队打团本 07-02