PHP ファイル アップロード セキュリティ ガイド: $_FILES 配列を使用してアップロードされたファイル情報を取得する方法

PHP ファイル アップロード セキュリティ ガイド: $_FILES 配列を使用してアップロードされたファイル情報を取得する方法

要約:
ファイルのアップロードは、Web 開発における一般的な機能の 1 つです。ただし、ファイル アップロードの実装が正しくないと、セキュリティの脆弱性が発生し、アプリケーションに潜在的なリスクをもたらす可能性があります。この記事では、PHP の $_FILES 配列を使用してアップロードされたファイル情報を安全に取得する方法を紹介し、それをいくつかのコード例と組み合わせて読者の理解を深める方法を紹介します。

1. 適切なファイル アップロード制限を設定する
   PHP では、php.ini ファイルを使用してファイル アップロード制限を設定できます。以下に、一般的な設定オプションをいくつか示します。

   ; 允许上传的文件最大大小
   upload_max_filesize = 5M
   ; 允许同时上传的文件数量
   max_file_uploads = 20
   ; 允许上传的文件类型
   allowed_file_types = image/jpeg, image/png

   これらの設定を通じて、アップロードされるファイルのサイズ、数量、種類を制御できるため、潜在的なセキュリティ問題の一部を効果的に防ぐことができます。

2. $_FILES 配列を使用してアップロードされたファイルの情報を取得する
   PHP では、$_FILES 配列を使用してアップロードされたファイルに関する情報を取得できます。 $_FILES 配列は連想配列で、そのキー名はファイル アップロード フォームの入力フィールドの名前、キー値はアップロードされたファイルに関する情報を含む配列です。

以下は基本的な使用例です:

<form action="upload.php" method="POST" enctype="multipart/form-data">
  <input type="file" name="file" />
  <input type="submit" value="上传" />
</form>

ファイルをアップロードするための PHP スクリプトでは、次のようにアップロードされたファイルの情報を取得できます:

$file = $_FILES['file'];
echo "文件名：" . $file['name'] . "<br />";
echo "文件类型：" . $file['type'] . "<br />";
echo "文件大小：" . $file['size'] . "字节 <br />";
echo "临时文件名：" . $file['tmp_name'] . "<br />";

$ _FILES 配列を通じて、アップロードされたファイルの名前、タイプ、サイズ、一時ファイル名、その他の情報を簡単に取得できます。

3. アップロードされたファイルのセキュリティ チェック
   アップロードされたファイルに関する情報を取得することに加えて、いくつかの追加のセキュリティ チェックも実行する必要があります。一般的なセキュリティ チェック方法は次のとおりです。

3.1 アップロードされたファイルの MIME タイプを確認する

$allowed_mime_types = array('image/jpeg', 'image/png');
if (!in_array($file['type'], $allowed_mime_types)) {
  die("禁止上传该类型的文件");
}

アップロードされたファイルの MIME タイプを確認することで、ユーザーが違法なファイルをアップロードすることを防ぐことができます。種類 。

3.2 ファイル拡張子の確認

$allowed_extensions = array('jpg', 'png');
$extension = pathinfo($file['name'], PATHINFO_EXTENSION);
if (!in_array($extension, $allowed_extensions)) {
  die("禁止上传该扩展名的文件");
}

ファイル拡張子を確認することで、アップロードされたファイルの正当性をさらに確認できます。

3.3 アップロードされたファイルを指定されたディレクトリに移動します

$target_directory = "uploads/";
$target_path = $target_directory . $file['name'];
if (move_uploaded_file($file['tmp_name'], $target_path)) {
  echo "文件上传成功";
} else {
  echo "文件上传失败";
}

アップロードされたファイルを指定されたディレクトリに移動する際、悪意のあるユーザーがアップロードできないように、ターゲット ディレクトリに適切なアクセス許可設定があることも確認する必要があります。悪意のあるコードのドキュメント。

結論:
$_FILES 配列を適切なセキュリティ チェックと組み合わせて使用​​することで、アップロードされたファイルに関する関連情報を安全に取得でき、望ましくないセキュリティ リスクを効果的に防ぐことができます。新しい開発者でも経験豊富な開発者でも、開発中はファイル アップロードのセキュリティを念頭に置き、アプリケーションとユーザー データのセキュリティを保護するためのベスト プラクティス ガイドラインに従う必要があります。

参考資料:

• PHP 公式ドキュメント: http://php.net/manual/zh/reserved.variables.files.php

以上がPHP ファイル アップロード セキュリティ ガイド: $_FILES 配列を使用してアップロードされたファイル情報を取得する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。