Attaque de téléchargement de fichiers de sécurité PHP

Attaque de téléchargement de fichiers

Parfois, en plus des données du formulaire standard, vous devez également autoriser les utilisateurs à télécharger des fichiers. Étant donné que les fichiers sont transmis différemment des autres données de formulaire dans un formulaire, vous devez spécifier un encodage spécial multipart/form-data :

CODE :

<form action="upload.php" method="POST"
enctype="multipart/form-data">

Un formulaire contenant à la fois des données de formulaire ordinaires et des fichiers est un format spécial, et spécifier la méthode d'encodage permet au navigateur de suivre les exigences de format à gérer.

L'élément de formulaire qui permet aux utilisateurs de sélectionner des fichiers et de les télécharger est très simple :

CODE :

<input type="file" name="attachment" />

Cet élément apparaît différemment selon les navigateurs. Traditionnellement, l'interface comprend une zone de texte standard et un bouton de navigation, afin que l'utilisateur puisse saisir directement le chemin du fichier manuellement ou le sélectionner via la navigation. Dans le navigateur Safari, il n'y a qu'un bouton Parcourir. Heureusement, leurs fonctions et comportements sont les mêmes.

Pour mieux démontrer le mécanisme de téléchargement de fichiers, voici un exemple qui permet aux utilisateurs de télécharger des pièces jointes :

CODE :

<form action="upload.php" method="POST"
enctype="multipart/form-data">
  
Please choose a file to upload:
  
  

  
  

La variable de formulaire cachée MAX_FILE_SIZE indique au navigateur le maximum Tailles de fichiers autorisées pour le téléchargement. Comme de nombreuses restrictions côté client, celle-ci est facilement contournée par un attaquant, mais elle fournit des conseils aux utilisateurs légitimes. Cette restriction n'est fiable que si elle est effectuée sur le serveur.

Parmi les variables de configuration PHP, upload_max_filesize contrôle la taille maximale du fichier autorisé à être téléchargé. Dans le même temps, post_max_size (la taille maximale des données soumises du formulaire POST) peut également potentiellement être contrôlée, car le fichier est téléchargé via les données du formulaire.

Le programme récepteur upload.php affiche le contenu du tableau super global $_FILES :

CODE :

<?php
 
  header(&#39;Content-Type: text/plain&#39;);
  print_r($_FILES);
 
  ?>

Afin de comprendre le processus de téléchargement, nous utilisons un fichier nommé auteur. txt Test, voici son contenu :

CODE :

  Chris Shiflett
  http://www.php.cn/

Lorsque vous téléchargez ce fichier dans le programme upload.php, vous pouvez voir un résultat similaire à celui-ci dans le navigateur :

CODE :

 Array
  (
      [attachment] => Array
          (
              [name] => author.txt
              [type] => text/plain
              [tmp_name] => /tmp/phpShfltt
              [error] => 0
              [size] => 36
          )
 
  )

Bien que cela puisse être vu d'en haut ce que PHP fournit réellement dans le tableau super global $_FILES, mais il ne peut pas donner les informations brutes des données du formulaire. En tant que développeur axé sur la sécurité et qui a besoin d'identifier les entrées pour savoir ce que le navigateur envoie réellement, il vaut la peine de jeter un œil aux informations de requête HTTP suivantes :

CODE :

POST /upload.php HTTP/1.1
  Host: example.org
  Content-Type: multipart/form-data;
boundary=----------12345
  Content-Length: 245
 
  ----------12345
  Content-Disposition: form-data; name="attachment";
filename="author.txt"
  Content-Type: text/plain
 
  Chris Shiflett
  http://www.php.cn/
 
  ----------12345
  Content-Disposition: form-data;
name="MAX_FILE_SIZE"
 
  1024
  ----------12345--

Bien que vous ne soyez pas obligé de comprendre le format de la demande , vous Être capable d'identifier les fichiers et les métadonnées associées. L'utilisateur fournit uniquement le nom et le type, donc tmp_name, error et size sont tous fournis par PHP.

Puisque PHP enregistre le fichier téléchargé dans la zone de fichiers temporaires du système de fichiers (/tmp/phpShfltt dans cet exemple), l'opération habituelle consiste à le déplacer vers d'autres endroits pour le sauvegarder et le lire en mémoire. Il existe un risque théorique si vous ne vérifiez pas tmp_name pour vous assurer qu'il s'agit d'un fichier téléchargé (et non de quelque chose comme /etc/passwd). C'est ce qu'on appelle un risque théorique car il n'existe aucune méthode d'attaque connue permettant à un attaquant de modifier la valeur de tmp_name. Cependant, ce n’est pas parce qu’il n’existe aucun moyen d’attaque que vous n’avez pas besoin de prendre quelques mesures de sécurité simples. De nouvelles attaques apparaissent chaque jour et une simple étape peut protéger votre système.

PHP fournit deux fonctions pratiques pour atténuer ces risques théoriques : is_uploaded_file( ) et move_uploaded_file( ). Si vous devez vous assurer que le fichier dans tmp_name est un fichier téléchargé, vous pouvez utiliser is_uploaded_file() :

CODE :

 <?php
 
  $filename = $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
 
  if (is_uploaded_file($filename))
  {
    /* $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;] is an
uploaded file. */
  }
 
  ?>

如果你希望只把上传的文件移到一个固定位置，你可以使用move_uploaded_file( )：

CODE:

 <?php
 
  $old_filename =
$_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
  $new_filename = &#39;/path/to/attachment.txt&#39;;
 
  if (move_uploaded_file($old_filename,
$new_filename))
  {
    /* $old_filename is an uploaded file, and the
move was successful. */
  }
 
  ?>

最后你可以用 filesize( ) 来校验文件的大小：

CODE:

 <?php
 
  $filename = $_FILES[&#39;attachment&#39;][&#39;tmp_name&#39;];
 
  if (is_uploaded_file($filename))
  {
    $size = filesize($filename);
  }
 
  ?>

这些安全措施的目的是加上一层额外的安全保护层。最佳的方法是永远尽可能少地去信任。 

以上就是PHP安全-文件上传攻击的内容，更多相关内容请关注PHP中文网（www.php.cn）！