Penapisan data PHP: Cegah pelaksanaan fail berniat jahat-tutorial php-php.cn

Penapisan data PHP: Cegah pelaksanaan fail berniat jahat

WBOY

Lepaskan： 2023-07-28 10:58:01

asal

1421 orang telah melayarinya

Penapisan Data PHP: Mencegah Perlaksanaan Fail Berniat jahat

Pengenalan:
Dalam pembangunan web, cara menapis data yang dimasukkan pengguna dengan berkesan adalah sangat penting. Khususnya untuk fungsi muat naik fail, kita mesti mengambil langkah penapisan yang ketat untuk menghalang pelaksanaan fail berniat jahat. Artikel ini akan memperkenalkan cara menggunakan PHP untuk penapisan data dan cara menghalang pelaksanaan fail berniat jahat. Pada masa yang sama, beberapa contoh kod PHP akan diberikan sebagai rujukan.

1. Tapis data input pengguna

Tapis rentetan input pengguna
Apabila memproses data input pengguna, kita harus menapis aksara khas untuk mengelakkan serangan XSS. Anda boleh menggunakan fungsi htmlspecialchars() yang disediakan oleh PHP untuk menapis input pengguna.

Berikut ialah contoh kod:

$input = $_POST['input'];
$filteredInput = htmlspecialchars($input);

Salin selepas log masuk

Menapis integer yang dimasukkan oleh pengguna
Apabila memproses data integer yang dimasukkan oleh pengguna, kita harus memastikan bahawa ia hanya mengandungi nombor. Anda boleh menggunakan fungsi filter_var() yang disediakan oleh PHP untuk menapis integer.

Berikut ialah contoh kod:

$input = $_POST['input'];
$filteredInput = filter_var($input, FILTER_VALIDATE_INT);

Salin selepas log masuk

Menapis nombor titik terapung yang dimasukkan pengguna
Apabila memproses data titik terapung yang dimasukkan pengguna, kami harus memastikan ia hanya mengandungi nombor dan titik perpuluhan. Anda boleh menggunakan fungsi filter_var() yang disediakan oleh PHP untuk menapis nombor titik terapung.

Berikut ialah contoh kod:

$input = $_POST['input'];
$filteredInput = filter_var($input, FILTER_VALIDATE_FLOAT);

Salin selepas log masuk

2. Halang pelaksanaan fail berniat jahat

Semakan jenis fail
Dalam fungsi muat naik fail, pastikan hanya jenis fail selamat dibenarkan untuk dimuat naik. Anda boleh menggunakan tatasusunan $_FILES yang disediakan oleh PHP untuk mendapatkan maklumat fail yang dimuat naik, dan menggunakan fungsi pathinfo() untuk mendapatkan sambungan fail. Kemudian, pertimbangan dibuat pada bahagian belakang untuk hanya menerima jenis fail yang dibenarkan.

Berikut ialah contoh kod:

$allowedTypes = array('jpg', 'png', 'gif');
$uploadedFile = $_FILES['file'];
$fileName = $uploadedFile['name'];
$fileExtension = pathinfo($fileName, PATHINFO_EXTENSION);

if (in_array($fileExtension, $allowedTypes)) {
    // 允许文件上传
    move_uploaded_file($uploadedFile['tmp_name'], 'uploads/' . $fileName);
} else {
    // 文件类型不允许上传
    echo "文件类型不支持上传";
}

Salin selepas log masuk

Semakan laluan fail
Apabila memproses fail yang dimuat naik, kami juga perlu menyemak laluan fail untuk memastikan tiada kod hasad dilaksanakan. Anda boleh menggunakan fungsi realpath() yang disediakan oleh PHP untuk mendapatkan laluan sebenar fail dan menyemak sama ada laluan itu berada dalam direktori yang ditentukan.

Berikut ialah contoh kod:

$allowedPath = '/uploads';
$uploadedFile = $_FILES['file'];
$filePath = realpath($uploadedFile['tmp_name']);

if (strpos($filePath, $allowedPath) === 0) {
    // 文件路径在允许的目录内
    move_uploaded_file($uploadedFile['tmp_name'], 'uploads/' . $fileName);
} else {
    // 文件路径不在允许的目录内
    echo "非法文件路径";
}

Salin selepas log masuk

Semakan kandungan fail
Selain semakan laluan fail dan jenis fail, kandungan fail juga perlu disemak untuk memastikan tiada kod berniat jahat dilaksanakan. Anda boleh menggunakan fungsi getimagesize() yang disediakan oleh PHP untuk menyemak fail imej bagi memastikan ia adalah fail imej sebenar.

Berikut adalah contoh kod:

$uploadedFile = $_FILES['file'];
$fileType = exif_imagetype($uploadedFile['tmp_name']);

if ($fileType !== false) {
    // 是图像文件
    move_uploaded_file($uploadedFile['tmp_name'], 'uploads/' . $fileName);
} else {
    // 不是图像文件
    echo "非法文件内容";
}

Salin selepas log masuk

Kesimpulan:
Dalam pembangunan web, menapis data input pengguna adalah sangat penting, terutamanya untuk fungsi muat naik fail. Melalui penapisan data yang munasabah dan pemprosesan fail, kami boleh menghalang pelaksanaan fail berniat jahat dengan berkesan. Artikel ini memberikan beberapa contoh kod PHP, saya harap ia akan membantu pembaca.

Atas ialah kandungan terperinci Penapisan data PHP: Cegah pelaksanaan fail berniat jahat. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!