PHP mengendalikan operasi sistem fail melalui fungsi terbina dalam, tetapi perlu memberi perhatian kepada risiko keselamatan. Fungsi umum termasuk fopen (), file_get_contents (), unlink (), dan lain -lain, yang digunakan untuk membaca, menulis, memadam dan menyemak fail; Input pengguna mesti disahkan semasa operasi untuk mengelakkan serangan traversal jalan; Akses skrip ke direktori hendaklah dihadkan melalui Open_Basedir; keizinan yang munasabah harus ditetapkan untuk mengelakkan fail sensitif yang dibaca dan ditulis; pengesahan jenis dan penamaan semula semasa memuat naik fail; Prestasi disyorkan untuk menggunakan bacaan penampan dan pembersihan fail sementara. Berikutan amalan terbaik dapat meningkatkan keselamatan dan kecekapan.

PHP mengendalikan operasi sistem fail melalui satu set fungsi terbina dalam yang membolehkan pemaju berinteraksi dengan sistem fail pelayan. Ini termasuk membaca, menulis, memadam, dan memeriksa fail dan direktori. Oleh kerana PHP biasanya berjalan di sisi pelayan, ia mempunyai akses langsung ke sistem fail - tetapi ini juga memperkenalkan potensi risiko keselamatan jika tidak ditangani dengan teliti.

Inilah caranya PHP menguruskan operasi ini dan apa yang perlu anda hadapi.

1. Fungsi sistem fail biasa dalam php

PHP menyediakan beberapa fungsi teras untuk berfungsi dengan fail dan direktori:

• fopen() , fread() , fwrite() , fclose() -untuk pengendalian fail peringkat rendah
• file_get_contents() - Membaca keseluruhan fail ke dalam rentetan
• file_put_contents() - Menulis data ke fail
• unlink() - Memadam fail
• mkdir() / rmdir() - Membuat atau membuang direktori
• scandir() - menyenaraikan fail dalam direktori
• is_readable() , is_writable() , file_exists() - Semak status fail

Sebagai contoh, membaca fail semudah:

 $ content = file_get_contents ('example.txt');
echo $ content;

Dan menulis ke fail boleh dilakukan seperti ini:

 file_put_contents ('example.txt', 'kandungan baru');

Fungsi-fungsi ini berkuasa dan mudah, terutamanya untuk tugas-tugas seperti pembalakan, caching, atau menguruskan fail yang dimuat naik pengguna.

2. Risiko keselamatan dan bagaimana untuk mengurangkannya

Oleh kerana skrip PHP boleh memanipulasi sistem fail secara langsung, penggunaan yang tidak betul boleh membawa kepada kelemahan yang serius. Berikut adalah beberapa isu dan cara yang sama untuk menghalang mereka:

? Pengesahan input pengguna

Jangan sekali -kali mempercayai input pengguna semasa membina laluan fail. Sebagai contoh, jika skrip anda membolehkan pengguna memuat turun atau melihat fail berdasarkan parameter:

 // buruk: secara langsung menggunakan input pengguna
$ file = $ _get ['file'];
ReadFile ($ fail);

Ini membuka pintu ke serangan traversal jalan (misalnya , ?file=../../etc/passwd ). Sentiasa membersihkan dan mengesahkan input:

 $ dibenarkan_files = ['laporan.pdf', 'data.csv'];
$ file = baseName ($ _ get ['file']); // Mengeluarkan maklumat laluan
jika (in_array ($ fail, $ dibenarkan_files)) {
    ReadFile ("docs/". $ file);
}

? Mengehadkan akses fail

Pastikan pelayan web dan PHP anda dikonfigurasikan untuk hanya membenarkan akses kepada direktori yang diperlukan. Elakkan memberi kebenaran skrip untuk membaca kawasan sensitif seperti /etc/ atau direktori rumah pengguna.

Gunakan sekatan berasaskan terbuka dalam php.ini :

 open_basedir =/var/www/html:/tmp

Ini mengehadkan skrip PHP ke direktori tertentu.

? Kebenaran dan pemilikan

Pastikan fail dan direktori boleh dibaca/boleh ditulis hanya oleh pengguna yang sesuai. Pelayan web biasanya dijalankan di bawah pengguna khas seperti www-data . Pastikan fail yang dimuat naik atau dijana tidak mempunyai tetapan yang dibenarkan terlalu banyak seperti 0777 .

Lalai yang baik adalah:

 nama fail chmod 644 # boleh dibaca oleh semua, hanya ditulis oleh pemilik
Direktori Chmod 755 # direktori boleh diakses tetapi tidak ditulis oleh orang lain

Juga, elakkan membiarkan pelayan Web memiliki fail sistem kritikal.

? fail memuat naik keselamatan

Semasa membenarkan fail muat naik, selalu:

• Sahkan jenis fail (periksa jenis mime dan sambungan fail)
• Namakan semula fail untuk mengelakkan menimpa yang ada
• Simpan fail yang dimuat naik di luar akar web jika mereka tidak boleh diakses secara terbuka
• Hadkan saiz fail

Contoh:

 $ upload_dir = '/secure_uploads/';
$ dibenarkan_types = ['jpg', 'png', 'pdf'];

$ ext = strtolower (pathInfo ($ _ files ['file'] ['name'], pathInfo_extension));
jika (in_array ($ ext, $ dibenarkan_types)) {
    $ new_name = uniqid (). '.' . $ ext;
    move_uploaded_file ($ _ files ['file'] ['tmp_name'], $ upload_dir. $ new_name);
} else {
    echo "jenis fail tidak sah.";
}

3. Prestasi dan amalan terbaik

Walaupun fungsi sistem fail PHP mudah digunakan, mereka tidak selalunya cara yang paling berkesan untuk menyimpan atau mengambil data. Pertimbangkan alternatif seperti pangkalan data atau penyimpanan objek untuk aplikasi berskala besar.

Tetapi untuk tugas yang lebih kecil seperti fail konfigurasi, log, atau cache sementara, mereka baik -baik saja - hanya menyimpan petua ini:

• Gunakan bacaan buffered ( file_get_contents ) dan bukannya line-by-line ( fgets ) kecuali diperlukan
• Jangan mengunci fail yang tidak perlu ( flock )
• Bersihkan fail sementara secara berkala
• Kesilapan log tetapi elakkan mendedahkan laluan fail penuh dalam mesej ralat

Ia cukup mudah untuk melakukan operasi fail asas di PHP, tetapi perkara-perkara menjadi rumit cepat apabila anda berurusan dengan input pengguna atau skrip yang dihadapi awam. Beberapa pemeriksaan tambahan dan keizinan yang berhati -hati pergi jauh.

Atas ialah kandungan terperinci Bagaimanakah PHP mengendalikan operasi sistem fail, dan apakah pertimbangan keselamatan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!