ファイルのアップロードは Web アプリケーションの一般的な機能であり、ユーザーは画像、ドキュメント、ビデオなどのファイルを共有できます。ただし、ファイルのアップロードには、適切に処理しないとセキュリティ上のリスクが伴います。アップロードが不適切に処理されると、リモートでのコードの実行、重要なファイルの上書き、サービス拒否攻撃などの脆弱性が発生する可能性があります。
これらのリスクを軽減するには、PHP でファイルのアップロードを処理するときに安全な方法を実装することが不可欠です。以下は、PHP でファイルのアップロードを安全に処理するための包括的なガイドであり、ベスト プラクティス、一般的な脆弱性、ファイルのアップロードを安全にするためのテクニックをカバーしています。
PHP では、ファイルのアップロードは、アップロードされたファイルに関する情報を保存する $_FILES スーパーグローバルを通じて処理されます。ファイルのアップロードがどのように機能するかの基本的な例を次に示します:
// HTML form for file upload
<form action="upload.php" method="POST" enctype="multipart/form-data">
<input type="file" name="fileToUpload">
<pre class="brush:php;toolbar:false">// PHP script to handle file upload (upload.php)
if (isset($_POST['submit'])) {
$targetDir = "uploads/";
$targetFile = $targetDir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;
$fileType = strtolower(pathinfo($targetFile, PATHINFO_EXTENSION));
// Check if the file already exists
if (file_exists($targetFile)) {
echo "Sorry, file already exists.";
$uploadOk = 0;
}
// Check file size (limit to 5MB)
if ($_FILES["fileToUpload"]["size"] > 5000000) {
echo "Sorry, your file is too large.";
$uploadOk = 0;
}
// Check file type (allow only certain types)
if ($fileType != "jpg" && $fileType != "png" && $fileType != "jpeg") {
echo "Sorry, only JPG, JPEG, and PNG files are allowed.";
$uploadOk = 0;
}
// Check if upload was successful
if ($uploadOk == 0) {
echo "Sorry, your file was not uploaded.";
} else {
if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $targetFile)) {
echo "The file ". htmlspecialchars(basename($_FILES["fileToUpload"]["name"])). " has been uploaded.";
} else {
echo "Sorry, there was an error uploading your file.";
}
}
}
ファイル拡張子と MIME タイプに基づいてファイル タイプを常に検証します。ただし、ファイル拡張子は簡単に偽装される可能性があるため、ファイル拡張子だけに依存しないでください。
// Get the file's MIME type
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$fileMimeType = finfo_file($finfo, $_FILES["fileToUpload"]["tmp_name"]);
// Check against allowed MIME types
$allowedMimeTypes = ['image/jpeg', 'image/png', 'image/gif'];
if (!in_array($fileMimeType, $allowedMimeTypes)) {
die("Invalid file type. Only JPEG, PNG, and GIF are allowed.");
}
サーバー リソースを使い果たす可能性のある大規模なアップロードを防ぐために、許可される最大ファイル サイズを制限します。これは、php.ini の PHP 設定を通じて行うことができます:
upload_max_filesize = 2M // Limit upload size to 2MB post_max_size = 3M // Ensure post data size can accommodate the upload
さらに、$_FILES['file']['size']:
を使用してサーバー側のファイル サイズを確認します。
if ($_FILES["fileToUpload"]["size"] > 5000000) { // 5MB
die("File is too large. Max allowed size is 5MB.");
}
元のファイル名は操作されたり、他のファイルと競合したりする可能性があるため、使用しないでください。代わりに、ファイルの名前を一意の識別子に変更します (たとえば、ランダムな文字列または uniqid() を使用します)。
// HTML form for file upload
<form action="upload.php" method="POST" enctype="multipart/form-data">
<input type="file" name="fileToUpload">
<pre class="brush:php;toolbar:false">// PHP script to handle file upload (upload.php)
if (isset($_POST['submit'])) {
$targetDir = "uploads/";
$targetFile = $targetDir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;
$fileType = strtolower(pathinfo($targetFile, PATHINFO_EXTENSION));
// Check if the file already exists
if (file_exists($targetFile)) {
echo "Sorry, file already exists.";
$uploadOk = 0;
}
// Check file size (limit to 5MB)
if ($_FILES["fileToUpload"]["size"] > 5000000) {
echo "Sorry, your file is too large.";
$uploadOk = 0;
}
// Check file type (allow only certain types)
if ($fileType != "jpg" && $fileType != "png" && $fileType != "jpeg") {
echo "Sorry, only JPG, JPEG, and PNG files are allowed.";
$uploadOk = 0;
}
// Check if upload was successful
if ($uploadOk == 0) {
echo "Sorry, your file was not uploaded.";
} else {
if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $targetFile)) {
echo "The file ". htmlspecialchars(basename($_FILES["fileToUpload"]["name"])). " has been uploaded.";
} else {
echo "Sorry, there was an error uploading your file.";
}
}
}
アップロードされたファイル (悪意のある PHP スクリプトなど) の実行を防ぐには、アップロードされたファイルを Web ルートの外部または実行を許可しないフォルダーに保存します。
たとえば、uploads/ などのディレクトリにファイルを保存し、そのディレクトリ内での PHP ファイルの実行がサーバー構成で許可されていないことを確認してください。
// Get the file's MIME type
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$fileMimeType = finfo_file($finfo, $_FILES["fileToUpload"]["tmp_name"]);
// Check against allowed MIME types
$allowedMimeTypes = ['image/jpeg', 'image/png', 'image/gif'];
if (!in_array($fileMimeType, $allowedMimeTypes)) {
die("Invalid file type. Only JPEG, PNG, and GIF are allowed.");
}
画像ファイルのヘッダーの検証や getimagesize() などのライブラリの使用などのファイル検査手法を使用して、ファイルが実際に画像であり、偽装された PHP ファイルではないことを確認します。
upload_max_filesize = 2M // Limit upload size to 2MB post_max_size = 3M // Ensure post data size can accommodate the upload
アップロードされたファイルに正しい権限があり、実行可能でないことを確認してください。不正なアクセスを防ぐために、制限的なファイル権限を設定します。
if ($_FILES["fileToUpload"]["size"] > 5000000) { // 5MB
die("File is too large. Max allowed size is 5MB.");
}
最初にファイルを一時ディレクトリに保存し、追加のチェック (ウイルス スキャンなど) が実行された後でのみ最終的な保存先に移動します。
$targetFile = $targetDir . uniqid() . '.' . $fileType;
セキュリティを強化するには、ウイルス対策スキャナを使用して、アップロードされたファイルに既知のマルウェアのシグネチャがないか確認することを検討してください。多くの Web アプリケーションは、スキャン用に ClamAV などのサービスと統合されています。
いくつかのベスト プラクティスを統合して、ファイルのアップロードを安全に処理する例を次に示します。
# For Nginx, configure the server to block PHP execution in the upload folder:
location ~ ^/uploads/ {
location ~ \.php$ { deny all; }
}
PHP でファイルのアップロードを安全に処理するには、悪意のあるファイルのアップロード、大きなファイルのアップロード、重要なファイルの上書きなどのリスクを軽減するための技術とベスト プラクティスを組み合わせる必要があります。ファイルの種類とサイズを常に検証し、アップロードされたファイルの名前を変更し、Web ルートの外部に保存し、適切な権限を実装してください。そうすることで、ファイルのアップロード機能の安全性を確保し、悪用のリスクを軽減できます。
以上がPHP での安全なファイル アップロードのベスト プラクティス: 一般的な脆弱性の防止の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
