应使用 basename() 提取文件名并配合白名单校验,再用 realpath() 确认路径在授权目录内,上传文件必须用 move_uploaded_file(),同时禁用危险 php 配置和 web 服务器执行权限。
用 basename() 提取文件名,别信用户传来的完整路径
用户提交的文件名(比如通过表单、URL参数)如果直接拼进 fopen() 或 file_put_contents(),就等于把目录穿越的钥匙交出去。攻击者传 ../../etc/passwd 这类路径,PHP 不会自动拦截——它照常解析、访问、写入。
正确做法是剥离路径部分,只保留合法文件名:
- 用
basename($user_input)强制截断所有上级目录符号,basename('../../config.php')返回config.php - 再配合白名单校验:只允许字母、数字、下划线、短横线,拒绝点号(
.)、斜杠、空字节等,例如用preg_match('/^[a-zA-Z0-9_-]{1,64}$/', $filename) - 注意:
basename()对%2e%2e%2f(URL 编码的../)无效,必须先urldecode()再处理,或统一在接收后立刻解码并净化
写入前用 realpath() 和白名单根目录比对
即使文件名看起来干净,攻击者也可能利用符号链接、绕过 basename() 的 Unicode 变体(如全角点)、或结合服务器配置触发非预期解析。最稳妥的是:构造出完整目标路径后,用 realpath() 解析其真实物理位置,并确认是否落在你授权的目录内。
示例逻辑:
立即学习“PHP免费学习笔记(深入)”;
define('UPLOAD_ROOT', '/var/www/uploads');
$target = UPLOAD_ROOT . '/' . basename($_POST['filename']);
$real_target = realpath($target);
if ($real_target === false || strpos($real_target, realpath(UPLOAD_ROOT)) !== 0) {
die('非法路径');
}
file_put_contents($real_target, $content);
-
realpath()会返回false如果路径不存在或不可访问,这点必须检查,否则可能绕过 -
strpos(..., realpath(UPLOAD_ROOT)) !== 0是关键:必须用!== 0,因为0是合法的起始位置,而== false会把0当作失败 - 确保
UPLOAD_ROOT是绝对路径,且不依赖用户输入动态拼接
禁用危险的 PHP 配置项,从运行时层面堵漏
光靠代码过滤不够,得让服务器环境本身拒绝可疑行为。检查 php.ini 中以下几项:
-
open_basedir:设为明确的根目录(如/var/www:/tmp),PHP 将无法访问该范围外的任何文件,包括../跳转后的路径 -
allow_url_fopen = Off:防止通过http://或php://filter等协议触发远程文件读取或写入 -
disable_functions中加入symlink,shell_exec,exec,passthru,system,降低被利用后提权或探测系统的能力 - Web 服务器(如 Nginx/Apache)也应配置禁止执行上传目录下的 PHP 文件,例如 Nginx 中加
location ~ ^/uploads/.*\.php$ { deny all; }
用 move_uploaded_file() 处理上传,别用 copy() 或 file_put_contents() 直接写
用户上传文件时,PHP 会把临时文件放在 upload_tmp_dir 下,$_FILES['xxx']['tmp_name'] 指向它。此时若用 copy() 或 file_put_contents() 写入目标路径,就又回到了路径拼接的老问题。
move_uploaded_file() 是唯一安全的选择,它内部做了两件事:
- 验证
tmp_name确实来自本次上传(不是伪造的路径) - 拒绝将文件移出指定目标目录(即目标路径必须是
realpath()后仍在白名单内的位置) - 使用时仍需配合
basename()和realpath()校验目标路径,但底层多了一层保护
典型用法:
$upload_dir = '/var/www/uploads/';
$filename = basename($_FILES['file']['name']);
$target = $upload_dir . $filename;
if (move_uploaded_file($_FILES['file']['tmp_name'], $target)) {
// 成功
}
路径遍历真正的难点不在「怎么拦」,而在「哪里拦」——过滤必须发生在路径拼接之后、文件操作之前;realpath() 必须调用且结果必须严格比对;上传和普通写入要走不同流程。漏掉任意一环,都可能被绕过。
