简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
Maison > développement back-end > tutoriel php > le corps du texte

Comment gérer en toute sécurité les fichiers téléchargés par les utilisateurs à l'aide de PHP

王林
Libérer: 2023-07-08 06:28:02
original
1068 Les gens l'ont consulté

Comment utiliser PHP pour traiter en toute sécurité les fichiers téléchargés par les utilisateurs

Avec le développement d'Internet, les fonctions d'interaction utilisateur des sites Web sont devenues de plus en plus abondantes, parmi lesquelles le téléchargement de fichiers par les utilisateurs est une fonction très courante. Cependant, comment gérer en toute sécurité les fichiers téléchargés par les utilisateurs est devenu un problème important auquel les développeurs doivent faire face. Dans cet article, nous verrons comment gérer en toute sécurité les fichiers téléchargés par les utilisateurs à l'aide de PHP.

  1. Définir la taille maximale du téléchargement de fichiers
    En PHP, vous pouvez utiliser les deux éléments de configuration upload_max_filesize et post_max_size pour contrôler la taille maximale du téléchargement de fichiers. Vous pouvez le définir dans le fichier de configuration du projet ou dans le fichier .htaccess. upload_max_filesizepost_max_size这两个配置项来控制文件上传的最大大小。你可以在项目的配置文件或者.htaccess文件中进行设置。

例如,在配置文件中设置最大文件上传大小为10MB:

upload_max_filesize = 10M
post_max_size = 10M
Copier après la connexion
  1. 检查文件类型
    用户可以通过伪造文件的扩展名来上传恶意文件,因此我们需要检查文件的MIME类型来确保它是允许上传的文件类型。PHP的$_FILES数组中的type字段可以获取上传文件的MIME类型。

使用finfo_openfinfo_file函数来检查文件的MIME类型:

$file = $_FILES['file']['tmp_name'];
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $file);
finfo_close($finfo);

$allowedTypes = array('image/jpeg', 'image/png');
if (!in_array($mime, $allowedTypes)) {
    // 文件类型不符合要求,执行相应操作
}
Copier après la connexion
  1. 检查文件名
    用户可以通过上传文件名中的特殊字符来尝试执行恶意操作,因此我们需要对文件名进行过滤和验证,只允许使用安全的字符。可以使用正则表达式进行验证,只允许文件名包含字母、数字和部分特殊字符:
$filename = $_FILES['file']['name'];
$pattern = '/^[a-zA-Z0-9-_.]+$/';
if (!preg_match($pattern, $filename)) {
    // 文件名不符合要求,执行相应操作
}
Copier après la connexion
  1. 移动文件到安全目录
    用户上传的文件应该保存在一个安全的目录中,我们可以使用move_uploaded_file函数将文件从临时目录移动到指定的目录。
$tempFile = $_FILES['file']['tmp_name'];
$targetDir = "uploads/";
$targetFile = $targetDir . basename($_FILES['file']['name']);

if (move_uploaded_file($tempFile, $targetFile)) {
    // 文件上传成功,执行相应操作
} else {
    // 文件上传失败,执行相应操作
}
Copier après la connexion
  1. 添加后缀名验证
    除了检查文件类型,还可以通过验证文件的后缀名来增加安全性。可以使用pathinfo
Par exemple, définissez la taille maximale de téléchargement de fichier à 10 Mo dans le fichier de configuration : 

$filename = $_FILES['file']['name'];
$extension = pathinfo($filename, PATHINFO_EXTENSION);
$allowedExtensions = array('jpg', 'png');
if (!in_array($extension, $allowedExtensions)) {
    // 文件后缀名不符合要求,执行相应操作
}
Copier après la connexion
    Vérifiez le type de fichier

    Les utilisateurs peuvent télécharger des fichiers malveillants en falsifiant l'extension du fichier, nous Vous devez vérifier le type MIME du fichier pour vous assurer qu'il s'agit d'un type de fichier autorisé à être téléchargé. Le champ type du tableau $_FILES de PHP peut obtenir le type MIME du fichier téléchargé.

  • Utilisez les fonctions finfo_open et finfo_file pour vérifier le type MIME du fichier :
    • rrreee
  1. Vérifiez le nom du fichier
    2. Les utilisateurs peuvent téléchargez le nom du fichier par caractères spéciaux dans le fichier pour essayer d'effectuer des opérations malveillantes, nous devons donc filtrer et vérifier le nom du fichier et autoriser uniquement les caractères sûrs. Les expressions régulières peuvent être utilisées à des fins de vérification, et seuls les noms de fichiers peuvent contenir des lettres, des chiffres et certains caractères spéciaux : 🎜rrreee
      🎜Déplacer les fichiers vers un répertoire sûr🎜Les fichiers téléchargés par les utilisateurs doivent être enregistrés dans un répertoire sécurisé, nous pouvons utiliser la fonction move_uploaded_file pour déplacer les fichiers du répertoire temporaire vers le répertoire spécifié. 🎜🎜rrreee
        🎜Ajouter une vérification du suffixe🎜En plus de vérifier le type de fichier, vous pouvez également augmenter la sécurité en vérifiant le suffixe du fichier. Vous pouvez utiliser la fonction pathinfo pour obtenir l'extension du fichier, puis la vérifier. 🎜🎜rrreee🎜Cela dit, voici quelques suggestions sur la façon de gérer en toute sécurité les fichiers téléchargés par les utilisateurs à l'aide de PHP. Cependant, la sécurité est un processus continu et seules des mesures de sécurité apprises et mises à jour en permanence peuvent garantir que les fichiers téléchargés par les utilisateurs ne constituent aucune menace pour le système. Il est recommandé d'utiliser les bibliothèques et fonctions de sécurité existantes pendant le développement. Par exemple, la fonction de téléchargement de fichiers dans le framework Laravel offre une sécurité et une convivialité plus élevées. 🎜🎜Référence : 🎜🎜🎜Documentation officielle PHP : http://php.net/manual/en/features.file-upload.php🎜🎜Téléchargement de fichiers Laravel : https://laravel.com/docs/5.8/filesystem # téléchargements de fichiers🎜🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
php 文件上传安全 用户上传文件处理 php 文件安全处理
source:php.cn
Article précédent:Comment utiliser PHP et l'API Youpai Cloud pour implémenter des fonctions de cryptage du stockage audio et vidéo et de contrôle d'accès Article suivant:Comment implémenter le tri des champs dans MongoDB en utilisant PHP
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
La combinaison de la redirection HTTPS avec des règles de réécriture ne peut pas ajouter l'extension .php J'espère que quelqu'un pourra vous aider. Je souhaite supprimer l'extension de fichier (.p...
Depuis 2024-04-04 15:44:30
0
1
299
Authserver "Impossible de se connecter" "L'hôte xxxxx n'est pas autorisé" après avoir modifié l'adresse IP de l'installation LAN Utilisez les instructions d'installation de Windows par défaut sur une installation Window...
Depuis 2024-04-04 15:06:41
0
1
374
Téléchargez plusieurs fichiers image dans CodeIgniter en utilisant Ajax et PHP J'ai du mal à télécharger plusieurs fichiers image côté serveur. Ce serait formidable si q...
Depuis 2024-04-03 22:35:03
0
1
318
Traduire « Supprimer le répertoire public » dans le projet Laravel en chinois par « Supprimer le répertoire public » Je fais un projet Laravel mais j'ai un gros problème, je n'arrive pas à supprimer le nom /...
Depuis 2024-04-03 19:26:05
0
1
355
Tutoriel PHP : Comment télécharger du texte et des images sur Linkedin en utilisant PHP ? J'essaie de télécharger du texte, des images et des liens à l'aide de LinkedinsRestAPI (ht...
Depuis 2024-04-03 18:42:29
0
1
420
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal
À propos de nous Clause de non-responsabilité Sitemap
Site Web PHP chinois:Formation PHP en ligne sur le bien-être public,Aidez les apprenants PHP à grandir rapidement!