1. ホーム
  2. 質問と答え
  3. このファイルアップロードスクリプトは安全ですか?

このファイルアップロードスクリプトは安全ですか?

2009-08-28 16 views
-2

これは完全に安全ですか?私は新しいプロジェクトのために完全に安全なファイルアップロードスクリプトが欲しいです。ここに私が見つけたものがあります:このファイルアップロードスクリプトは安全ですか?

<?php 
if ((($_FILES["file"]["type"] == "image/gif") 
|| ($_FILES["file"]["type"] == "image/jpeg") 
|| ($_FILES["file"]["type"] == "image/pjpeg")) 
&& ($_FILES["file"]["size"] < 20000)) 
    { 
    if ($_FILES["file"]["error"] > 0) 
    { 
    echo "Return Code: " . $_FILES["file"]["error"] . "<br />"; 
    } 
    else 
    { 
    echo "Upload: " . $_FILES["file"]["name"] . "<br />"; 
    echo "Type: " . $_FILES["file"]["type"] . "<br />"; 
    echo "Size: " . ($_FILES["file"]["size"]/1024) . " Kb<br />"; 
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />"; 

    if (file_exists("upload/" . $_FILES["file"]["name"])) 
     { 
     echo $_FILES["file"]["name"] . " already exists. "; 
     } 
    else 
     { 
     move_uploaded_file($_FILES["file"]["tmp_name"], 
     "upload/" . $_FILES["file"]["name"]); 
     echo "Stored in: " . "upload/" . $_FILES["file"]["name"]; 
     } 
    } 
    } 
else 
    { 
    echo "Invalid file"; 
    } 
?>

出典

2009-08-28 Anonymous

+0

アップロードされたファイルで何をしようとしているかによって異なります。 – MitMaro

答えて

0

ウイルスのファイルはまだ通過します。

出典

2009-08-28 21:53:13 lance

+0

"goatse.jpg"もチェックするのが最も良い – nickf

+0

どのようにして谷を得ることができますか?ニックはそれは大丈夫だと言いました。 –

+0

それを考えてみると、そのスクリプトが完全に安全かどうか分かりません。 – lance

0

私によく見えます。

出典

2009-08-28 21:53:28 nickf

+0

それは安全ですか?だから私のサーバー上に人が脆弱なスクリプトなどをアップロードすることはできませんか? –

0

ファイルがスキャンされない限り、ファイルをアップロードするのに100%安全な方法はありません。 PHPはスクリプト言語であり、セキュリティプログラム言語ではありません。だからあなたが作ったのと同じくらい安全です。つまり、サイズとタイプを制限するだけでなく、奇妙なファイル名をチェックすることもできます。アプリケーションに定義したものが奇妙です。

ウイルス対策のためにサードパーティのサービスを使用してファイルをスキャンすると(yahooがウイルスの添付ファイルをスキャンすると)、アプリケーションが改善されますが、私の頭の上からはわかりません。

出典

2009-08-28 22:04:24

3

mimeタイプの$ _FILES ["file"] ["type"]を信頼できません。その情報はブラウザによって送信され、偽装される可能性があります。マッチタイプはmime_content_typeまたはFileinfoでチェックするのが最善です。

出典

2009-08-28 22:05:05 smack0007

+0

少なくとも、ファイルの拡張子が画像の拡張子であることを確認してください。そうすれば、あなたのウェブサーバーはそれをイメージとして扱います。壊れた画像や無効な画像から保護することはできませんが、実行可能なPHPスクリプトのアップロードを阻止します。 – MitMaro

0

これは、セキュリティアナリストの話題に過ぎないかもしれませんが、たとえば、正規表現を使ってすべてのフィールドを検証する必要があります。そして内容も同様です。さもなければ、あなたは確信できません。 1つのファイルを 'image/gif'として受け入れるようにそのコードを騙して、特定のApacheハンドラが有効なコマンドとして扱うようにスクリプトを埋め込むことができます。 (デフォルトではないかもしれませんが、将来的にはクールな新しいApacheモジュールをインストールするとき)...

「完全に」安全なスクリプトが必要な場合:すべてが正しいかどうかを確認するためにすべてを検証してください何もない。

出典

2009-08-28 22:14:48 Rushyo

2

注意しなければならないことは、画像をsecurity riskにすることができるMIME Type Detection in Internet Explorerです。ファイルには、右の拡張子を持っており、ファイル自体はまだHTML、開放としてそれを解釈するかもしれ<html><body>など、IE(7歳以上)のようなトークンが含まれている場合は、画像のMIMEタイプで提供されていても

可能なXSSエクスプロイト。

出典

2009-08-28 22:34:12

関連する問題

 関連する問題