ファイル アップロード攻撃を防ぐ画像アップロード スクリプトを安全に作成する方法

完全な安全なイメージ アップロード スクリプト

はじめに

不正なファイル アップロードやデータ侵害を防ぐには、安全なイメージ アップロード スクリプトを実装することが重要です。ここでは、包括的なスクリプトの作成方法について詳しく説明します。

ファイル タイプ攻撃の防止

攻撃者は、リクエスト ヘッダーを変更することで、悪意のあるファイル タイプを悪用する可能性があります。これに対処するには:

• Content-Type 検証: アップロードされたファイルの Content-Type ヘッダーが予期される画像タイプ (例: image/png) と一致するかどうかを確認します。
• 画像の検証: GD ライブラリの getimagesize() 関数を使用して、アップロードされたファイルがは有効な画像であり、その MIME タイプを抽出します。

テキスト コメント攻撃の防止

画像形式が有効であっても、攻撃者は悪意のある PHP コードをコメントとして埋め込む可能性があります。これを軽減するには:

• 名前の変更と拡張子の変更: アップロードされたファイルの名前を変更し、その拡張子を変更して、権限のない当事者による直接アクセスを防ぎます。
• ストアセキュア ディレクトリ内: ドキュメント ルートの外側やディレクトリなど、訪問者が直接アクセスできないディレクトリに画像を保存します。アクセス制限された .htaccess ファイル。

ローカル ファイル インクルージョン (LFI) 攻撃の防止

LFI 攻撃により、攻撃者はサーバー上のファイルにアクセスして悪用することができます。これを防ぐには:

• 元のファイル名を変更して保存します: アップロードされた画像の元のファイル名は使用しないでください。代わりに、名前を変更し、元の名前を MIME タイプとともにデータベースに保存します。
• データベースを使用する: 画像のメタデータ (新しいファイル名、元の名前、MIME タイプなど) を安全なデータ処理のために PDO を使用したデータベース。

画像を安全に表示する

表示するには訪問者への画像:

• データベース ID を使用: アップロードされた画像の一意のデータベース ID を使用して、安全なディレクトリから画像を取得します。
• 送信ヘッダーとファイル: 適切な HTTP ヘッダーを送信して、ブラウザーに画像のダウンロードまたは表示を促す

安全な PHP スクリプト

セキュリティ対策を実装した後、それらを組み込んだ PHP スクリプトの例を次に示します。

<?php

if(!empty($_POST['upload']) && !empty($_FILES['image']) && $_FILES['image']['error'] == 0) {

    $uploaddir = 'uploads/'; // Secure directory for images

    // Processing image and security checks (explained in previous sections)

    // Database setup and query for secure storage

    // Successful upload and database insertion

} else {
    die('Image upload failed!');
}

?>

画像の取得と表示

アップロードされた画像を取得して表示するには訪問者:

<?php

$uploaddir = 'uploads/'; // Secure directory for images
$id = 1; // Database ID of the image to retrieve

// Database setup and query to fetch image metadata

// Send headers and image file to visitor

?>

結論

これらのセキュリティ対策を実装することで、Web サイトを不正アクセスや潜在的な脆弱性から保護する、堅牢で安全な画像アップロード スクリプトを作成できます。

以上がファイル アップロード攻撃を防ぐ画像アップロード スクリプトを安全に作成する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。