pembangunan bahagian belakang
tutorial php
Bagaimana anda boleh mengendalikan fail memuat naik dengan selamat di php?
Bagaimana anda boleh mengendalikan fail memuat naik dengan selamat di php?
Jun 19, 2025 am 01:05 AM
Untuk mengendalikan muat naik fail dengan selamat di PHP, terasnya adalah untuk mengesahkan jenis fail, menamakan semula fail, dan menyekat kebenaran. 1. Gunakan finfo_file () untuk memeriksa jenis mime sebenar, dan hanya jenis tertentu seperti imej/jpeg dibenarkan; 2. Gunakan uniqid () untuk menghasilkan nama fail rawak dan simpannya dalam direktori akar bukan web; 3. Hadkan saiz fail melalui borang php.ini dan html, dan tetapkan kebenaran direktori ke 0755; 4. Gunakan Clamav untuk mengimbas malware untuk meningkatkan keselamatan. Langkah -langkah ini dengan berkesan menghalang kelemahan keselamatan dan memastikan bahawa proses muat naik fail adalah selamat dan boleh dipercayai.
Pengendalian fail memuat naik dengan selamat di PHP bukan sekadar mendapatkan fail dari titik A ke B - ini mengenai memastikan bahawa apa yang dimuat naik tidak memecahkan tapak anda atau membuka lubang keselamatan. Idea teras adalah mudah: tidak pernah mempercayai input pengguna, terutamanya apabila ia adalah fail.
Inilah cara untuk mendekati langkah demi langkah.
Periksa jenis fail dengan betul
Hanya menyemak sambungan fail tidak mencukupi - penyerang boleh menamakan semula fail berniat jahat untuk kelihatan seperti imej atau PDF. Sebaliknya, gunakan mime_content_type() atau finfo_file() untuk memeriksa jenis mime sebenar fail yang dimuat naik.
Contohnya:
$ finfo = finfo_open (fileInfo_mime_type); $ mime = finfo_file ($ finfo, $ _files ['fileToupload'] ['tmp_name']); finfo_close ($ finfo);
Hanya membenarkan jenis mime tertentu seperti 'image/jpeg' , 'image/png' , dan sebagainya, dan elakkan apa -apa yang boleh dilaksanakan seperti .php , .exe , atau .sh .
Juga, jangan bergantung semata-mata pada cek sisi klien-sentiasa mengesahkan pada sisi pelayan.
Namakan semula fail yang dimuat naik dan simpannya di luar Root Web
Menggunakan nama fail asal boleh berisiko - seseorang mungkin memuat naik fail .php dan namakannya seperti photo.jpg.php . Jika pelayan anda salah faham, itu boleh dilaksanakan.
Jadi:
- Menjana nama fail rawak (seperti menggunakan
uniqid()atau hash) - Simpan pemetaan antara nama asal dan nama yang disimpan dalam pangkalan data anda
- Simpan fail di luar direktori web awam (misalnya,
/var/uploads/bukannya/public_html/uploads/)
Dengan cara ini, walaupun seseorang berjaya memuat naik fail berbahaya, ia tidak boleh diakses secara langsung melalui URL.
Hadkan saiz fail dan gunakan kebenaran yang selamat
Muat naik fail besar boleh memakan sumber pelayan anda atau bahkan digunakan dalam serangan penafian perkhidmatan.
Tetapkan had dalam PHP dan dalam bentuk HTML anda:
- Dalam
php.ini:upload_max_filesize = 2m post_max_size = 8m
- Dalam bentuk anda:
<input type = "hidden" name = "max_file_size" value = "2097152">
Juga, pastikan direktori muat naik mempunyai keizinan yang betul - biasanya 0755 sudah cukup, dan dimiliki oleh pengguna pelayan web. Jangan sekali -kali menetapkan chmod 777 melainkan jika anda benar -benar tahu apa yang anda lakukan (dan walaupun itu, ia tidak selamat).
Mengimbas malware jika mungkin
Jika anda berurusan dengan kandungan sensitif atau platform trafik tinggi, pertimbangkan untuk mengimbas fail yang dimuat naik dengan alat antivirus seperti Clamav. Ia menambah lapisan perlindungan tambahan, terutamanya terhadap dokumen atau imej yang dijangkiti dengan malware tertanam.
Anda boleh menjalankan ini selepas dimuat naik tetapi sebelum memindahkan fail ke lokasi terakhirnya.
$ output = shell_exec ('clamscan --stdout'. escapeshellarg ($ _ files ['fileToupload'] ['tmp_name']));
jika (strpos ($ output, 'dijangkiti')! == palsu) {
// menolak fail
}Ia tidak mudah, tetapi lebih selamat daripada maaf.
Itulah persediaan asas. Lebih banyak lagi yang boleh anda lakukan bergantung kepada keperluan aplikasi anda - seperti pengimbasan virus, imej watermarking, atau menjana gambar kecil - tetapi langkah -langkah ini meliputi kelemahan yang paling biasa. Muat naik fail adalah rumit, tetapi dengan beberapa cek pepejal, mereka boleh dikendalikan dengan selamat.
Atas ialah kandungan terperinci Bagaimana anda boleh mengendalikan fail memuat naik dengan selamat di php?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Bagaimana untuk menaik taraf versi PHP?
Jun 27, 2025 am 02:14 AM
Menaik taraf versi PHP sebenarnya tidak sukar, tetapi kunci terletak pada langkah -langkah operasi dan langkah berjaga -jaga. Berikut adalah kaedah khusus: 1. Sahkan versi PHP semasa dan persekitaran berjalan, gunakan baris arahan atau fail phpinfo.php untuk dilihat; 2. Pilih versi baru yang sesuai dan pasangnya. Adalah disyorkan untuk memasangnya dengan 8.2 atau 8.1. Pengguna Linux menggunakan pengurus pakej, dan pengguna macOS menggunakan homebrew; 3. Migrasi fail dan sambungan konfigurasi, kemas kini php.ini dan pasang sambungan yang diperlukan; 4. Uji sama ada laman web berjalan secara normal, periksa log ralat untuk memastikan tiada masalah keserasian. Ikuti langkah -langkah ini dan anda boleh berjaya melengkapkan peningkatan dalam kebanyakan situasi.
Bagaimanakah saya menghalang serangan pemalsuan permintaan lintas tapak (CSRF) dalam php?
Jun 28, 2025 am 02:25 AM
Topreventcsrfattacksinphp, Extementanti-Csrftokens.1) GenerateAndStoreSecureTokensusingRandom_Bytes () orbin2hex (random_bytes (32 )), savethemin $ _Session, andincludetheminFormsashiddeninputs.2) validateTokensonsmissionbystrictlycomparingtheposttokenwiththe
Panduan Pemula PHP: Penjelasan terperinci mengenai konfigurasi persekitaran tempatan
Jun 27, 2025 am 02:09 AM
Untuk menyediakan persekitaran pembangunan PHP, anda perlu memilih alat yang sesuai dan memasang konfigurasi dengan betul. ① Persekitaran tempatan PHP yang paling asas memerlukan tiga komponen: pelayan web (Apache atau nginx), PHP itu sendiri dan pangkalan data (seperti MySQL/MariaDB); ② Adalah disyorkan bahawa pemula menggunakan pakej integrasi seperti XAMPP atau MAMP, yang memudahkan proses pemasangan. XAMPP sesuai untuk Windows dan MacOS. Selepas pemasangan, fail projek diletakkan di direktori HTDOCS dan diakses melalui localhost; ③mamp sesuai untuk pengguna Mac dan menyokong penukaran mudah versi PHP, tetapi versi percuma mempunyai fungsi terhad; ④ Pengguna lanjutan boleh memasangnya secara manual dengan homebrew, dalam sistem macOS/linux
Bagaimana menggabungkan dua nilai PHP Arrays yang unik?
Jul 02, 2025 pm 05:18 PM
Untuk menggabungkan dua susunan PHP dan menyimpan nilai unik, terdapat dua kaedah utama. 1. Untuk tatasusunan indeks atau hanya deduplikasi, gunakan Array_Merge dan Array_unique Combinations: First Gabungan Array_Merge ($ array1, $ array2) dan kemudian gunakan array_unique () untuk deduplikasi mereka untuk akhirnya mendapatkan array baru yang mengandungi semua nilai unik; 2. Untuk array bersekutu dan ingin mengekalkan pasangan nilai utama dalam array pertama, gunakan pengendali: $ hasil = $ array1 $ array2, yang akan memastikan bahawa kunci dalam array pertama tidak akan ditimpa oleh array kedua. Kedua -dua kaedah ini boleh digunakan untuk senario yang berbeza, bergantung kepada sama ada nama kunci dikekalkan atau hanya fokus yang dihadapi
Bagaimana cara menggunakan fungsi keluar PHP?
Jul 03, 2025 am 02:15 AM
Keluar () adalah fungsi dalam PHP yang digunakan untuk menamatkan pelaksanaan skrip dengan segera. Kegunaan umum termasuk: 1. Menamatkan skrip terlebih dahulu apabila pengecualian dikesan, seperti fail tidak wujud atau pengesahan gagal; 2. Output hasil pertengahan semasa debugging dan berhenti pelaksanaan; 3. Panggilan keluar () selepas pengalihan bersamaan dengan header () untuk mengelakkan pelaksanaan kod berikutnya; Di samping itu, keluar () boleh menerima parameter rentetan sebagai kandungan output atau integer sebagai kod status, dan aliasnya mati ().
Memohon struktur semantik dengan artikel, seksyen, dan selain dalam HTML
Jul 05, 2025 am 02:03 AM
Penggunaan rasional tag semantik dalam HTML dapat meningkatkan kejelasan struktur halaman, aksesibilitas dan kesan SEO. 1. Digunakan untuk blok kandungan bebas, seperti jawatan blog atau komen, ia mesti mandiri; 2. Digunakan untuk kandungan berkaitan klasifikasi, biasanya termasuk tajuk, dan sesuai untuk modul yang berlainan halaman; 3. Digunakan untuk maklumat tambahan yang berkaitan dengan kandungan utama tetapi tidak teras, seperti cadangan sidebar atau profil pengarang. Dalam perkembangan sebenar, label harus digabungkan dan lain -lain, elakkan bersarang yang berlebihan, pastikan struktur mudah, dan sahkan rasionalitas struktur melalui alat pemaju.
Bagaimana saya mengakses data sesi dalam php?
Jun 30, 2025 am 01:33 AM
Untuk mengakses data sesi dalam PHP, anda mesti mula memulakan sesi dan kemudian beroperasi melalui array hyperglobal $ _Session. 1. Sesi mesti dimulakan menggunakan session_start (), dan fungsi mesti dipanggil sebelum sebarang output; 2. Apabila mengakses data sesi, periksa sama ada kunci wujud. Anda boleh menggunakan isset ($ _ sesi ['kunci']) atau array_key_exists ('kunci', $ _ sesi); 3. Set atau kemas kini pembolehubah sesi hanya perlu memberikan nilai kepada array $ _Session tanpa penjimatan secara manual; 4. Jelas data khusus dengan UNSET ($ _ Sesi ['Kunci']), Kosongkan semua data dan tetapkan $ _Session ke array kosong.
Apakah fungsi rekursif dalam php?
Jun 29, 2025 am 02:02 AM
Fungsi rekursif merujuk kepada fungsi panggilan diri dalam PHP. Unsur -unsur teras adalah 1. Menentukan keadaan penamatan (contoh asas), 2. Mengurangkan masalah dan memanggil dirinya secara rekursif (contoh rekursif). Ia sesuai untuk menangani struktur hierarki, membongkar subproblem duplikat, atau meningkatkan kebolehbacaan kod, seperti mengira faktorial, melintasi direktori, dan lain -lain. Apabila menulis, keadaan keluar harus dijelaskan, contoh asas harus secara beransur -ansur didekati, parameter yang berlebihan harus dielakkan, dan input kecil harus diuji. Sebagai contoh, apabila mengimbas direktori, fungsi ini menemui subdirektori dan memanggilnya secara rekursif sehingga semua peringkat dilalui.
