如何安全地實現圖片上傳腳本來防範漏洞？

安全映像上傳腳本

簡介

安全影像上傳對於防止惡意活動內容關重要並確保您網站的完整性。本文提供了一個全面的解決方案來實現安全圖像上傳腳本，以解決各種潛在的漏洞。

主要要求

建立安全映像上傳腳本涉及幾個關鍵要求：

• 檔案類型驗證：防止上傳惡意檔案類型（例如，PHP 腳本）。
• 內容驗證： 確保上傳的影像符合影像要求（例如，使用 GD 庫）。
• 資料夾隔離： 將映像儲存在非公共位置，以防止直接
• 伺服器端重定向：從伺服器安全地顯示和檢索影像。
• 本地文件包含預防：防止允許的漏洞攻擊者存取受限

實作

實現

PHP程式碼（upload.php）：

<pre class="brush:php;toolbar:false">// File type whitelist
$allowed_types = ['image/jpeg', 'image/jpg', 'image/png', 'image/gif'];

// Sanitize input
$file_name = $_FILES['image']['name'];
$file_type = $_FILES['image']['type'];
$file_size = $_FILES['image']['size'];

// Validate file type
if (!in_array($file_type, $allowed_types)) {
    echo "Invalid file type. Please upload an image.";
    exit;
}

// Validate file size
if ($file_size > 1000000) {
    echo "File too large. Maximum size allowed is 1MB.";
    exit;
}

// Verify image using GD library
$image_info = getimagesize($_FILES['image']['tmp_name']);

if (!$image_info) {
    echo "Invalid image. Please upload a valid image.";
    exit;
}

// Generate random file name and extension
$new_file_name = str_replace(".", "", microtime()) . "." . pathinfo($file_name, PATHINFO_EXTENSION);

// Isolated upload path outside document root
$upload_directory = 'uploads/';

// Save image to secure directory
if (!move_uploaded_file($_FILES['image']['tmp_name'], $upload_directory . $new_file_name)) {
    echo "Image upload failed. Please try again.";
    exit;
}

echo "Image uploaded successfully.";

如果(isset($_POST['提交'])) {

}

<input type="file" name="image">

?>

**Retrieve Image PHP Code (display.php):**

<code>
<?php

// Sanitize input
$id = (int)($_GET['id'] ?? 0);

// Connect to database
$host = 'localhost';
$user = 'username';
$pass = 'password';
$db = 'database';

$db = new mysqli($host, $user, $pass, $db);

if ($db->connect_error) {
    echo "Database connection error: " . $db->connect_error;
    exit;
}

// Retrieve image details from database
$sql = "SELECT * FROM uploads WHERE id = ?";
$stmt = $db->prepare($sql);
$stmt->bind_param('i', $id);
$stmt->execute();

$result = $stmt->get_result()->fetch_assoc();

if (!$result) {
    echo "Invalid image ID.";
    exit;
}

header('Content-Type: ' . $result['mime_type']);
header('Content-Length: ' . filesize('uploads/' . $result['path']));
readfile('uploads/' . $result['path']);

$db->close();

資料庫設定

• 建立一個資料庫，其中包含名為「uploads」的表以下列：
• id (int) - 主鍵

path (text) - 檔案路徑

mime_type (text) - 影像的MIME 類型

上傳後操作

• 安全上傳映像後，可能需要考慮其他操作，例如：
• 縮圖生成：創建較小的版本用於在畫廊等中顯示的圖像
• 水印：添加品牌化，以防止未經授權的分發。

資料庫儲存：儲存影像元資料和詳細資訊以便高效檢索。

結論透過實施本文中概述的步驟，您可以顯著增強影像上傳系統的安全性並保護您的網站免受潛在漏洞的影響。提供的程式碼和建議應該為您的安全圖像上傳實作奠定堅實的基礎。

以上是如何安全地實現圖片上傳腳本來防範漏洞？的詳細內容。更多資訊請關注PHP中文網其他相關文章！