一尘不染

完整的安全图像上传脚本

php

我不知道这种情况是否会发生,但是我会尝试的。

在过去的一个小时中,我对图像上传安全性进行了研究。我了解到有很多功能可以测试上传。

在我的项目中,我需要确保上传的图片安全。可能还有很多,并且可能需要很多带宽,因此购买API是不可行的。

因此,我决定获得用于真正安全图像上传的完整PHP脚本。我还认为这将对许多人有所帮助,因为不可能找到真正安全的人。但是我不是php方面的专家,因此添加一些功能确实让我感到头疼,因此我将要求社区提供帮助以创建一个真正安全图像上传的完整脚本。

真正很棒的主题在这里(但是,它们只是在告诉您完成此技巧所需的内容,而不是如何做到这一点,正如我所说的,我不是PHP的高手,所以我无法全部完成此操作我自己):
PHP图像上传安全检查列表

总而言之,他们告诉我们,这是安全映像上传所需要的(我将在以上页面中引用):

  • 使用.httaccess禁止PHP在上传文件夹中运行。
  • 如果文件名包含字符串“ php”,则不允许上传。
  • 仅允许扩展名:jpg,jpeg,gif和png。
  • 仅允许图像文件类型。
  • 禁止使用两种文件类型的图像。
  • 更改图像名称。上载到不是根目录的子目录。

也:

  • 使用GD(或Imagick)重新处理图像并保存处理后的图像。其他所有人都对黑客感到无聊”
  • 正如rr所指出的,请使用move_uploaded_file()进行任何上传”
  • 顺便说一句,您希望对上传文件夹有严格的限制。这些地方是
    发生许多攻击的黑暗角落之一。这对于任何类型的上载和任何编程
    语言/服务器均有效。检查

  • 级别1:检查扩展名(扩展名文件以)结尾

  • 级别2:检查MIME类型($ file_info = getimagesize($ _ FILES [‘image_file’]; $
    file_mime = $ file_info [‘mime’];)
  • 级别3:读取前100个字节,并检查它们是否在以下范围内:ASCII 0-8、12-31(十进制)。
    * 级别4:检查标头(文件的前10-20个字节)中的幻数。您可以从此处找到一些文件头字节

这是其中很大一部分,但还不是全部。(如果您了解更多有助于提高上传质量的信息,请分享。)

这就是我们现在得到的

  • 主要PHP:
function uploadFile ($file_field = null, $check_image = false, $random_name = false) {

//Config Section    
//Set file upload path
$path = 'uploads/'; //with trailing slash
//Set max file size in bytes
$max_size = 1000000;
//Set default file extension whitelist
$whitelist_ext = array('jpeg','jpg','png','gif');
//Set default file type whitelist
$whitelist_type = array('image/jpeg', 'image/jpg', 'image/png','image/gif');

//The Validation
// Create an array to hold any output
$out = array('error'=>null);

if (!$file_field) {
$out['error'][] = "Please specify a valid form field name";           
}

if (!$path) {
$out['error'][] = "Please specify a valid upload path";               
}

if (count($out['error'])>0) {
return $out;
}

//Make sure that there is a file
if((!empty($_FILES[$file_field])) && ($_FILES[$file_field]['error'] == 0)) {

// Get filename
$file_info = pathinfo($_FILES[$file_field]['name']);
$name = $file_info['filename'];
$ext = $file_info['extension'];

//Check file has the right extension           
if (!in_array($ext, $whitelist_ext)) {
$out['error'][] = "Invalid file Extension";
}

//Check that the file is of the right type
if (!in_array($_FILES[$file_field]["type"], $whitelist_type)) {
$out['error'][] = "Invalid file Type";
}

//Check that the file is not too big
if ($_FILES[$file_field]["size"] > $max_size) {
$out['error'][] = "File is too big";
}

//If $check image is set as true
if ($check_image) {
if (!getimagesize($_FILES[$file_field]['tmp_name'])) {
$out['error'][] = "Uploaded file is not a valid image";
}
}

//Create full filename including path
if ($random_name) {
// Generate random filename
$tmp = str_replace(array('.',' '), array('',''), microtime());

if (!$tmp || $tmp == '') {
$out['error'][] = "File must have a name";
}     
$newname = $tmp.'.'.$ext;                                
} else {
$newname = $name.'.'.$ext;
}

//Check if file already exists on server
if (file_exists($path.$newname)) {
$out['error'][] = "A file with this name already exists";
}

if (count($out['error'])>0) {
//The file has not correctly validated
return $out;
} 

if (move_uploaded_file($_FILES[$file_field]['tmp_name'], $path.$newname)) {
//Success
$out['filepath'] = $path;
$out['filename'] = $newname;
return $out;
} else {
$out['error'][] = "Server Error!";
}

} else {
$out['error'][] = "No file uploaded";
return $out;
}      
}


if (isset($_POST['submit'])) {
$file = uploadFile('file', true, true);
if (is_array($file['error'])) {
$message = '';
foreach ($file['error'] as $msg) {
$message .= '<p>'.$msg.'</p>';    
}
} else {
$message = "File uploaded successfully".$newname;
}
echo $message;
}
  • 以及形式:
    <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" enctype="multipart/form-data" name="form1" id="form1">
    



因此,我要提供的帮助是发布一些代码段,这些代码段将帮助我(以及其他所有人)使此图像上传脚本变得超级安全。或通过共享/创建完整的脚本并添加所有片段。


阅读 182

收藏
2020-05-26

共1个答案

一尘不染

当您开始使用安全的图像上传脚本时,需要考虑很多事情。现在,我在这方面尚无专家,但过去曾有人要求我进行开发。我将完成我在这里经历的整个过程,以便您可以继续。为此,我将从一个非常基本的html表单和处理文件的php脚本开始。

HTML形式:

<form name="upload" action="upload.php" method="POST" enctype="multipart/form-data">
    Select image to upload: <input type="file" name="image">
    <input type="submit" name="upload" value="upload">
</form>

PHP文件:

<?php
$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['image']['name']);

if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
    echo "Image succesfully uploaded.";
} else {
    echo "Image uploading failed.";
}
?>

第一个问题:文件类型
攻击者不必使用您网站上的表单将文件上传到您的服务器。POST请求可以通过多种方式来拦截。考虑一下浏览器插件,代理,Perl脚本。无论我们多么努力,我们都无法阻止攻击者尝试上传他不应该上传的内容。因此,我们所有的安全性都必须在服务器端完成。

第一个问题是文件类型。在上面的脚本中,攻击者可以上传他想要的任何内容(例如php脚本),然后点击直接链接来执行它。因此,为防止这种情况,我们实施了
Content-type验证

<?php
if($_FILES['image']['type'] != "image/png") {
    echo "Only PNG images are allowed!";
    exit;
}

$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['image']['name']);

if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
    echo "Image succesfully uploaded.";
} else {
    echo "Image uploading failed.";
}
?>

不幸的是,这还不够。如前所述,攻击者可以完全控制该请求。没有什么可以阻止他/她修改请求标头,只需将Content类型更改为“ image /
png”。因此,不仅要依赖Content-type标头,还应该验证上传文件的内容。这是php
GD库派上用场的地方。使用getimagesize(),我们将使用GD库处理图像。如果不是图像,它将失败,因此整个上传将失败:

<?php
$verifyimg = getimagesize($_FILES['image']['tmp_name']);

if($verifyimg['mime'] != 'image/png') {
    echo "Only PNG images are allowed!";
    exit;
}

$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['image']['name']);

if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {
    echo "Image succesfully uploaded.";
} else {
    echo "Image uploading failed.";
}
?>

我们还没到那儿。大多数图像文件类型都允许添加文本注释。同样,没有什么可以阻止攻击者添加一些php代码作为注释。GD库会将其评估为完美有效的图像。PHP解释器将完全忽略该图像,并运行注释中的php代码。的确,这取决于php配置,哪些文件扩展名由php解释器处理,而哪些则不行,但是由于有很多开发人员由于使用VPS而无法控制此配置,因此我们不能假设php解释器将不处理图像。这就是为什么添加文件扩展名白名单也不足够安全的原因。

解决方案是将图像存储在攻击者无法直接访问文件的位置。这可以在文档根目录之外,也可以在.htaccess文件保护的目录中:

order deny,allow
deny from all
allow from 127.0.0.1

编辑:与其他PHP程序员交谈后,我强烈建议使用文档根目录之外的文件夹,因为htaccess并不总是可靠的。

不过,我们仍然需要用户或任何其他访客才能查看图像。因此,我们将使用php为他们检索图像:

<?php
$uploaddir = 'uploads/';
$name = $_GET['name']; // Assuming the file name is in the URL for this example
readfile($uploaddir.$name);
?>

第二个问题:本地文件包含攻击
尽管我们的脚本目前已经相当安全,但是我们不能认为服务器没有其他漏洞。一个常见的安全漏洞称为 本地文件包含 。为了解释这一点,我需要添加一个示例代码:

<?php
if(isset($_COOKIE['lang'])) {
   $lang = $_COOKIE['lang'];
} elseif (isset($_GET['lang'])) {
   $lang = $_GET['lang'];
} else {
   $lang = 'english';
}

include("language/$lang.php");
?>

在此示例中,我们讨论的是多语言网站。网站语言不是被认为是“高风险”信息。我们尝试通过Cookie或GET请求获取访问者的首选语言,并根据其包含所需的文件。现在考虑当攻击者输入以下URL时会发生什么:

www.example.com/index.php?lang=../uploads/my_evil_image.jpg

PHP将包括攻击者上载的文件,绕过他无法直接访问该文件的事实,而我们又回到了第一个位置。

解决此问题的方法是确保用户不知道服务器上的文件名。相反,我们将使用数据库来更改文件名甚至扩展名来跟踪它:

CREATE TABLE `uploads` (
    `id` INT(11) NOT NULL AUTO_INCREMENT,
    `name` VARCHAR(64) NOT NULL,
    `original_name` VARCHAR(64) NOT NULL,
    `mime_type` VARCHAR(20) NOT NULL,
    PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;






<?php

if(!empty($_POST['upload']) && !empty($_FILES['image']) && $_FILES['image']['error'] == 0)) {

    $uploaddir = 'uploads/';

    /* Generates random filename and extension */
    function tempnam_sfx($path, $suffix){
        do {
            $file = $path."/".mt_rand().$suffix;
            $fp = @fopen($file, 'x');
        }
        while(!$fp);

        fclose($fp);
        return $file;
    }

    /* Process image with GD library */
    $verifyimg = getimagesize($_FILES['image']['tmp_name']);

    /* Make sure the MIME type is an image */
    $pattern = "#^(image/)[^\s\n<]+$#i";

    if(!preg_match($pattern, $verifyimg['mime']){
        die("Only image files are allowed!");
    }

    /* Rename both the image and the extension */
    $uploadfile = tempnam_sfx($uploaddir, ".tmp");

    /* Upload the file to a secure directory with the new name and extension */
    if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile)) {

        /* Setup a database connection with PDO */
        $dbhost = "localhost";
        $dbuser = "";
        $dbpass = "";
        $dbname = "";

        // Set DSN
        $dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;

        // Set options
        $options = array(
            PDO::ATTR_PERSISTENT    => true,
            PDO::ATTR_ERRMODE       => PDO::ERRMODE_EXCEPTION
        );

        try {
            $db = new PDO($dsn, $dbuser, $dbpass, $options);
        }
        catch(PDOException $e){
            die("Error!: " . $e->getMessage());
        }

        /* Setup query */
        $query = 'INSERT INTO uploads (name, original_name, mime_type) VALUES (:name, :oriname, :mime)';

        /* Prepare query */
        $db->prepare($query);

        /* Bind parameters */
        $db->bindParam(':name', basename($uploadfile));
        $db->bindParam(':oriname', basename($_FILES['image']['name']));
        $db->bindParam(':mime', $_FILES['image']['type']);

        /* Execute query */
        try {
            $db->execute();
        }
        catch(PDOException $e){
            // Remove the uploaded file
            unlink($uploadfile);

            die("Error!: " . $e->getMessage());
        }
    } else {
        die("Image upload failed!");
    }
}
?>

因此,我们现在完成了以下操作:

  • 我们创建了一个安全的位置来保存图像
  • 我们已经使用GD库处理了图像
  • 我们已经检查了图像MIME类型
  • 我们已经重命名了文件名并更改了扩展名
  • 我们已经在数据库中保存了新文件名和原始文件名
  • 我们还将MIME类型保存在数据库中

我们仍然需要能够将图像显示给访问者。我们只需使用数据库的id列即可:

<?php

$uploaddir = 'uploads/';
$id = 1;

/* Setup a database connection with PDO */
$dbhost = "localhost";
$dbuser = "";
$dbpass = "";
$dbname = "";

// Set DSN
$dsn = 'mysql:host='.$dbhost.';dbname='.$dbname;

// Set options
$options = array(
    PDO::ATTR_PERSISTENT    => true,
    PDO::ATTR_ERRMODE       => PDO::ERRMODE_EXCEPTION
);

try {
    $db = new PDO($dsn, $dbuser, $dbpass, $options);
}
catch(PDOException $e){
    die("Error!: " . $e->getMessage());
}

/* Setup query */
$query = 'SELECT name, original_name, mime_type FROM uploads WHERE id=:id';

/* Prepare query */
$db->prepare($query);

/* Bind parameters */
$db->bindParam(':id', $id);

/* Execute query */
try {
    $db->execute();
    $result = $db->fetch(PDO::FETCH_ASSOC);
}
catch(PDOException $e){
    die("Error!: " . $e->getMessage());
}

/* Get the original filename */
$newfile = $result['original_name'];

/* Send headers and file to visitor */
header('Content-Description: File Transfer');
header('Content-Disposition: attachment; filename='.basename($newfile));
header('Expires: 0');
header('Cache-Control: must-revalidate');
header('Pragma: public');
header('Content-Length: ' . filesize($uploaddir.$result['name']));
header("Content-Type: " . $result['mime_type']);
readfile($uploaddir.$result['name']);
?>

借助此脚本,访问者将能够查看图像或使用原始文件名下载图像。但是,他无法直接访问您服务器上的文件,也无法欺骗您的服务器为他/她访问文件,因为他无法知道该文件是哪个文件。(S)他也不能强行使用您的上载目录,因为它根本不允许任何人访问除服务器本身以外的目录。

到此,我的安全图像上传脚本结束了。

我想补充一点,我没有在脚本中包含最大文件大小,但是您应该可以轻松地自己完成此操作。

ImageUpload类
由于此脚本的需求量很大,因此我编写了一个ImageUpload类,该类应该使所有人都可以更轻松地安全地处理网站访问者上传的图像。该类可一次处理单个和多个文件,并为您提供其他功能,例如显示,下载和删除图像。

只需阅读README.txt并按照说明进行操作即可。

开源
图像安全类项目现在也可以在我的Github个人资料上找到。这样其他人(您吗?)可以为该项目做出贡献,并使它成为每个人都喜欢的图书馆。

2020-05-26