Contents

这个漏洞原理本身比较简单,而且很古老了。这里主要想说明一下,在w3school这样的平台上还存在着这样的代码说明我们对编写安全的代码还是不够重视。w3school上的示例对于初学者简单明了。很多人应该都看这个网站学习过web相关的知识。

我们用Google搜索php 文件上传或者英文的php file upload


第一个结果就是w3school的教学页面,而这个教程中给出的示例代码是存在安全漏洞的。

完整的代码如下:参考地址

上传的表单:

<html>
<body>
<form action="upload_file.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file" /> 
<br />
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>

处理的php脚本:

<?php
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 20000))
  {
  if ($_FILES["file"]["error"] > 0)
    {
    echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
    }
  else
    {
    echo "Upload: " . $_FILES["file"]["name"] . "<br />";
    echo "Type: " . $_FILES["file"]["type"] . "<br />";
    echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";
    if (file_exists("upload/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "upload/" . $_FILES["file"]["name"]);
      echo "Stored in: " . "upload/" . $_FILES["file"]["name"];
      }
    }
  }
else
  {
  echo "Invalid file";
  }
?>

文中也多次提到了文件上传的安全问题。

而为了安全,最后示例的代码中加了限制,只允许用户上传gif,jpg格式的图片。而这个限制,是通过$_FILES["file"]["type"]来限制的。做安全的同学都知道,这个参数是浏览器生成传递给服务端的,虽然不是用户输入数据,但是是属于客户端传递过来的数据,也就是用户其实是可以控制这个参数的。只需要修改Content-Type: image/jpeg 就可以绕过这个检查,上传任意类型的文件。

所以,当我们用Google搜索php文件上传,给出的第一个示例代码是存在安全漏洞的。编写安全的代码,任重而道远。

Contents