pembangunan bahagian belakang
tutorial php
Bagaimana cara mengendalikan fail memuat naik dengan selamat di PHP?
Bagaimana cara mengendalikan fail memuat naik dengan selamat di PHP?
Jul 08, 2025 am 02:37 AM
Untuk mengendalikan muat naik fail PHP dengan selamat, anda perlu mengesahkan sumber dan jenis, mengawal nama fail dan laluan, menetapkan sekatan pelayan, dan memproses fail media dua kali. 1. Sahkan sumber muat naik untuk mengelakkan CSRF melalui token dan mengesan jenis mime sebenar melalui finfo_file menggunakan kawalan putih; 2. Namakan semula fail ke rentetan rawak dan tentukan pelanjutan untuk menyimpannya dalam direktori bukan web mengikut jenis pengesanan; 3. Konfigurasi PHP mengehadkan saiz muat naik dan direktori sementara Nginx/Apache melarang akses ke direktori muat naik; 4. Perpustakaan GD menyambung semula gambar -gambar untuk membersihkan data yang berpotensi.
Memuat naik fail adalah ciri umum dalam banyak aplikasi PHP, tetapi jika ditangani secara tidak sengaja, ia boleh membawa risiko keselamatan dengan mudah. Masalah yang paling langsung ialah: fail yang dimuat naik oleh pengguna mungkin mengandungi kod berniat jahat. Oleh itu, teras memastikan fail memuat naik fail terletak pada pengesahan, sekatan dan pengasingan .
Berikut adalah berdasarkan beberapa senario sebenar dan bercakap tentang cara mengendalikan muat naik fail dengan selamat di PHP.
1. Sahkan sumber muat naik dan jenis fail
Pertama, pastikan permintaan muat naik memang dari bentuk anda sendiri, bukan permintaan yang dibuat oleh orang lain. Anda boleh menghalang serangan CSRF dengan memeriksa $_SERVER['HTTP_REFERER'] (walaupun tidak sepenuhnya dipercayai), atau menggunakan token satu kali.
Kedua, jangan hanya bergantung kepada pelanggan untuk menilai jenis fail . Jenis MIME disediakan apabila penyemak imbas memuat naik, tetapi ini boleh dipalsukan. PHP menyediakan fungsi mime_content_type() atau finfo_file() untuk membaca jenis fail sebenar:
$ finfo = finfo_open (fileInfo_mime_type); $ mime = finfo_file ($ finfo, $ _files ['file'] ['tmp_name']);
Adalah disyorkan bahawa jenis kawalan putih yang dibenarkan, seperti:
- Kategori Imej:
image/jpeg,image/png - Kelas Dokumen:
application/pdf, dll.
Kaedah penyenaraian hitam terdedah kepada kaedah serangan baru yang hilang dan tidak disyorkan.
2. Kawalan nama fail dan laluan penyimpanan
Jangan gunakan nama fail yang dimuat naik oleh pengguna secara langsung, kerana mungkin terdapat aksara khas atau struktur tersembunyi, seperti fail .php yang menyamar sebagai gambar.
Kaedahnya sangat mudah:
- Namakan semula fail ke rentetan rawak, seperti
md5(uniqid()) . '.jpg' - Jangan mempercayai sambungan fail asal, tentukan akhiran dengan jenis pengesanan sebenar
Di samping itu, jangan letakkan direktori muat naik di bawah laluan akses web . Sebagai contoh, simpan fail dalam /var/www/uploads/ bukannya dalam uploads/ direktori dalam direktori akar laman web, supaya walaupun skrip boleh dilaksanakan dimuat naik, ia tidak boleh diakses dan dijalankan secara langsung.
3. Tetapkan sekatan keselamatan untuk pelayan dan php
PHP dilengkapi dengan beberapa item konfigurasi yang berkaitan dengan muat naik, yang ditetapkan dalam php.ini :
-
upload_max_filesizedanpost_max_size: Kawal saiz muat naik maksimum -
file_uploads: sama ada untuk membenarkan memuat naik -
upload_tmp_dir: Direktori sementara, sebaiknya ditetapkan ke laluan bukan web
Tahap Apache/Nginx juga boleh dihadkan, seperti nginx:
lokasi / muat naik / {
menafikan semua;
}Ini menghalang pengguna daripada mengakses kandungan secara langsung dalam direktori yang dimuat naik.
Anda juga boleh mempertimbangkan untuk menambah .htaccess (Apache) ke direktori muat naik untuk melarang pelaksanaan skrip:
Pilihan -Execcgi -indexes Addhandler CGI-Script .php .php3 .pl .py .jsp .asp
4. Pemprosesan sekunder fail media seperti gambar
Jika aplikasi anda menerima muat naik imej, langkah keselamatan tambahan adalah untuk "memproses" imej-imej ini:
- Buka gambar dengan gd atau imagick dan simpan lagi
- Ini dapat membersihkan data jahat yang tertanam dalam gambar (seperti skrip yang dibawa oleh maklumat EXIF)
Contoh coretan kod:
$ image = ImageCreateFromJPeg ($ _ Files ['file'] ['tmp_name']); ImageJpeg ($ imej, 'new_image.jpg'); ImageSroy ($ imej);
Walaupun semua serangan tidak dapat dihapuskan sepenuhnya, mereka dapat meningkatkan keselamatan dengan berkesan.
Pada dasarnya itu sahaja. Titik utama masih pepatah lama yang sama: tidak pernah mempercayai input pengguna . Walaupun fungsi muat naik adalah perkara biasa, ia akan menjadi entri backdoor jika anda tidak berhati -hati. Hanya dengan melakukan pekerjaan yang baik untuk pengesahan, menyekat kebenaran, dan mengasingkan alam sekitar, anda boleh benar -benar mengurangkan risiko.
Atas ialah kandungan terperinci Bagaimana cara mengendalikan fail memuat naik dengan selamat di PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Bagaimana untuk menaik taraf versi PHP?
Jun 27, 2025 am 02:14 AM
Menaik taraf versi PHP sebenarnya tidak sukar, tetapi kunci terletak pada langkah -langkah operasi dan langkah berjaga -jaga. Berikut adalah kaedah khusus: 1. Sahkan versi PHP semasa dan persekitaran berjalan, gunakan baris arahan atau fail phpinfo.php untuk dilihat; 2. Pilih versi baru yang sesuai dan pasangnya. Adalah disyorkan untuk memasangnya dengan 8.2 atau 8.1. Pengguna Linux menggunakan pengurus pakej, dan pengguna macOS menggunakan homebrew; 3. Migrasi fail dan sambungan konfigurasi, kemas kini php.ini dan pasang sambungan yang diperlukan; 4. Uji sama ada laman web berjalan secara normal, periksa log ralat untuk memastikan tiada masalah keserasian. Ikuti langkah -langkah ini dan anda boleh berjaya melengkapkan peningkatan dalam kebanyakan situasi.
Bagaimanakah saya menghalang serangan pemalsuan permintaan lintas tapak (CSRF) dalam php?
Jun 28, 2025 am 02:25 AM
Topreventcsrfattacksinphp, Extementanti-Csrftokens.1) GenerateAndStoreSecureTokensusingRandom_Bytes () orbin2hex (random_bytes (32 )), savethemin $ _Session, andincludetheminFormsashiddeninputs.2) validateTokensonsmissionbystrictlycomparingtheposttokenwiththe
Panduan Pemula PHP: Penjelasan terperinci mengenai konfigurasi persekitaran tempatan
Jun 27, 2025 am 02:09 AM
Untuk menyediakan persekitaran pembangunan PHP, anda perlu memilih alat yang sesuai dan memasang konfigurasi dengan betul. ① Persekitaran tempatan PHP yang paling asas memerlukan tiga komponen: pelayan web (Apache atau nginx), PHP itu sendiri dan pangkalan data (seperti MySQL/MariaDB); ② Adalah disyorkan bahawa pemula menggunakan pakej integrasi seperti XAMPP atau MAMP, yang memudahkan proses pemasangan. XAMPP sesuai untuk Windows dan MacOS. Selepas pemasangan, fail projek diletakkan di direktori HTDOCS dan diakses melalui localhost; ③mamp sesuai untuk pengguna Mac dan menyokong penukaran mudah versi PHP, tetapi versi percuma mempunyai fungsi terhad; ④ Pengguna lanjutan boleh memasangnya secara manual dengan homebrew, dalam sistem macOS/linux
Bagaimana menggabungkan dua nilai PHP Arrays yang unik?
Jul 02, 2025 pm 05:18 PM
Untuk menggabungkan dua susunan PHP dan menyimpan nilai unik, terdapat dua kaedah utama. 1. Untuk tatasusunan indeks atau hanya deduplikasi, gunakan Array_Merge dan Array_unique Combinations: First Gabungan Array_Merge ($ array1, $ array2) dan kemudian gunakan array_unique () untuk deduplikasi mereka untuk akhirnya mendapatkan array baru yang mengandungi semua nilai unik; 2. Untuk array bersekutu dan ingin mengekalkan pasangan nilai utama dalam array pertama, gunakan pengendali: $ hasil = $ array1 $ array2, yang akan memastikan bahawa kunci dalam array pertama tidak akan ditimpa oleh array kedua. Kedua -dua kaedah ini boleh digunakan untuk senario yang berbeza, bergantung kepada sama ada nama kunci dikekalkan atau hanya fokus yang dihadapi
Bagaimana cara menggunakan fungsi keluar PHP?
Jul 03, 2025 am 02:15 AM
Keluar () adalah fungsi dalam PHP yang digunakan untuk menamatkan pelaksanaan skrip dengan segera. Kegunaan umum termasuk: 1. Menamatkan skrip terlebih dahulu apabila pengecualian dikesan, seperti fail tidak wujud atau pengesahan gagal; 2. Output hasil pertengahan semasa debugging dan berhenti pelaksanaan; 3. Panggilan keluar () selepas pengalihan bersamaan dengan header () untuk mengelakkan pelaksanaan kod berikutnya; Di samping itu, keluar () boleh menerima parameter rentetan sebagai kandungan output atau integer sebagai kod status, dan aliasnya mati ().
Memohon struktur semantik dengan artikel, seksyen, dan selain dalam HTML
Jul 05, 2025 am 02:03 AM
Penggunaan rasional tag semantik dalam HTML dapat meningkatkan kejelasan struktur halaman, aksesibilitas dan kesan SEO. 1. Digunakan untuk blok kandungan bebas, seperti jawatan blog atau komen, ia mesti mandiri; 2. Digunakan untuk kandungan berkaitan klasifikasi, biasanya termasuk tajuk, dan sesuai untuk modul yang berlainan halaman; 3. Digunakan untuk maklumat tambahan yang berkaitan dengan kandungan utama tetapi tidak teras, seperti cadangan sidebar atau profil pengarang. Dalam perkembangan sebenar, label harus digabungkan dan lain -lain, elakkan bersarang yang berlebihan, pastikan struktur mudah, dan sahkan rasionalitas struktur melalui alat pemaju.
Bagaimana saya mengakses data sesi dalam php?
Jun 30, 2025 am 01:33 AM
Untuk mengakses data sesi dalam PHP, anda mesti mula memulakan sesi dan kemudian beroperasi melalui array hyperglobal $ _Session. 1. Sesi mesti dimulakan menggunakan session_start (), dan fungsi mesti dipanggil sebelum sebarang output; 2. Apabila mengakses data sesi, periksa sama ada kunci wujud. Anda boleh menggunakan isset ($ _ sesi ['kunci']) atau array_key_exists ('kunci', $ _ sesi); 3. Set atau kemas kini pembolehubah sesi hanya perlu memberikan nilai kepada array $ _Session tanpa penjimatan secara manual; 4. Jelas data khusus dengan UNSET ($ _ Sesi ['Kunci']), Kosongkan semua data dan tetapkan $ _Session ke array kosong.
Apakah fungsi rekursif dalam php?
Jun 29, 2025 am 02:02 AM
Fungsi rekursif merujuk kepada fungsi panggilan diri dalam PHP. Unsur -unsur teras adalah 1. Menentukan keadaan penamatan (contoh asas), 2. Mengurangkan masalah dan memanggil dirinya secara rekursif (contoh rekursif). Ia sesuai untuk menangani struktur hierarki, membongkar subproblem duplikat, atau meningkatkan kebolehbacaan kod, seperti mengira faktorial, melintasi direktori, dan lain -lain. Apabila menulis, keadaan keluar harus dijelaskan, contoh asas harus secara beransur -ansur didekati, parameter yang berlebihan harus dielakkan, dan input kecil harus diuji. Sebagai contoh, apabila mengimbas direktori, fungsi ini menemui subdirektori dan memanggilnya secara rekursif sehingga semua peringkat dilalui.
