文件上传是我们常常需要开发的功能,试试用最安全的方式,判断用户上传的图片为正常的图片(jpg\gif\png)。
解题思路:
1、检查提交的文件的扩展名是否是图片(这一步很容易伪造的,所以不可靠)
2、依据文件的头信息检查文件是否真的是图片 (这一步基本就是图片了,但是依然可能包含木马的脚本)
3、用正则检查文件里面是否包含木马的脚本
以下是“坚持到底”的PHP版本代码
动易网上商城管理系统 2006 Sp6 Build 1120 普及版
下载
将产品展示、购物管理、资金管理等功能相结合,并提供了简易的操作、丰富的功能和完善的权限管理,为用户提供了一个低成本、高效率的网上商城建设方案包含PowerEasy CMS普及版,主要功能模块:文章频道、下载频道、图片频道、留言频道、采集管理、商城模块、商城日常操作模块500个订单限制(超出限制后只能查看和删除,不能进行其他处理) 无订单处理权限分配功能(只有超级管理员才能处理订单)
getExtension();
//第一道关卡,简单过滤非法文件。
if(!in_array($extName,$imageType)){
exit('只能上传gif、png和jpg的图片');
}
//依据文件头信息检查图片的真实类型
//1 IMAGETYPE_GIF
//2 IMAGETYPE_JPEG
//3 IMAGETYPE_PNG
$realType=exif_imagetype($_FILES['userfile']['tmp_name']);
if( 1 == $realType || 2 ==$realType || 3 ==$realType){
//开始检查是否存在木马代码
$safe=is_safe($_FILES['userfile']['tmp_name']);
if(!$safe){
exit ('图片包含木马,禁止上传!');
}
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "文件上传成功.\n";
} else {
echo "上传失败!\n";
}
}else{
exit ('只能上传gif、png和jpg的图片');
}
function is_safe($fileurl) {
$handle = fopen($fileurl, 'rb');
$fileSize = filesize($fileurl);
fseek($handle, 0);
if ($fileSize > 512) { // 取头和尾
$hexCode = bin2hex(fread($handle, 512));
fseek($handle, $fileSize - 512);
$hexCode .= bin2hex(fread($handle, 512));
} else { // 取全部
$hexCode = bin2hex(fread($handle, $fileSize));
}
fclose($handle);
/* 匹配16进制中的 <% ( ) %> */
/* 匹配16进制中的 */
/* 匹配16进制中的
