développement back-end
tutoriel php
Comment pouvez-vous gérer les téléchargements de fichiers en toute sécurité dans PHP?
Comment pouvez-vous gérer les téléchargements de fichiers en toute sécurité dans PHP?
Jun 19, 2025 am 01:05 AM
Pour gérer en toute sécurité les téléchargements de fichiers dans PHP, le noyau consiste à vérifier les types de fichiers, à renommer les fichiers et à restreindre les autorisations. 1. Utilisez finfo_file () pour vérifier le type de mime réel, et seuls des types spécifiques tels que l'image / jpeg sont autorisés; 2. Utilisez Uniqid () pour générer des noms de fichiers aléatoires et les stocker dans le répertoire racine non Web; 3. Limiter la taille du fichier via les formulaires PHP.ini et HTML et définir les autorisations de répertoire sur 0755; 4. Utilisez Clamav pour scanner les logiciels malveillants pour améliorer la sécurité. Ces étapes empêchent efficacement les vulnérabilités de sécurité et garantissent que le processus de téléchargement de fichiers est s?r et fiable.
La gestion des téléchargements de fichiers en toute sécurité dans PHP ne consiste pas seulement à obtenir le fichier du point A à B - il s'agit de s'assurer que ce qui est téléchargé ne casse pas votre site ou n'ouvre pas les trous de sécurité. L'idée principale est simple: ne faites jamais confiance à l'entrée de l'utilisateur, surtout lorsqu'il s'agit d'un fichier.
Voici comment l'approcher étape par étape.
Vérifiez correctement le type de fichier
Le simple fait de vérifier l'extension du fichier ne suffit pas - les attaquants peuvent renommer des fichiers malveillants pour ressembler à des images ou des PDF. Au lieu de cela, utilisez mime_content_type() ou finfo_file() pour vérifier le type MIME réel du fichier téléchargé.
Par exemple:
$ finfo = finfo_open (fileInfo_mime_type); $ mime = finfo_file ($ finfo, $ _files ['filetouplload'] ['tmp_name']); finfo_close ($ finfo);
Accordez uniquement des types de mime spécifiques comme 'image/jpeg' , 'image/png' , etc., et évitez tout ce qui est exécutable comme .php , .exe ou .sh .
De plus, ne comptez pas uniquement sur la vérification c?té client - validez toujours du c?té du serveur.
Renommer des fichiers téléchargés et les stocker en dehors du web root
L'utilisation du nom de fichier d'origine peut être risqué - quelqu'un peut télécharger un fichier .php et le nommer quelque chose comme photo.jpg.php . Si votre serveur se configure, cela pourrait être exécuté.
Donc:
- Générer un nom de fichier aléatoire (comme utiliser
uniqid()ou un hachage) - Gardez une cartographie entre le nom d'origine et le nom stocké dans votre base de données
- Enregistrer des fichiers en dehors du répertoire Web public (par exemple,
/var/uploads/au lieu de/public_html/uploads/)
De cette fa?on, même si quelqu'un parvient à télécharger un fichier dangereux, il ne peut pas être accessible directement via une URL.
Limiter la taille du fichier et utiliser les autorisations sécurisées
Les téléchargements de fichiers importants peuvent manger vos ressources de serveur ou même être utilisés dans les attaques de déni de service.
Réglez les limites à la fois en PHP et dans votre forme HTML:
- Dans
php.ini:upload_max_filesize = 2m post_max_size = 8m
- Dans votre forme:
<input type = "Hidden" name = "max_file_size" value = "2097152">
Assurez-vous également que le répertoire de téléchargement a des autorisations appropriées - généralement 0755 est suffisant et détenu par l'utilisateur du serveur Web. Ne définissez jamais chmod 777 à moins que vous ne sachiez vraiment ce que vous faites (et même alors, ce n'est pas s?r).
SCAR pour les logiciels malveillants lorsque cela est possible
Si vous avez affaire à un contenu sensible ou à des plates-formes à haut trafic, envisagez de numériser des fichiers téléchargés avec des outils antivirus comme Clamav. Il ajoute une couche de protection supplémentaire, en particulier contre les documents ou les images infectés par des logiciels malveillants intégrés.
Vous pouvez l'exécuter après le téléchargement mais avant de déplacer le fichier vers son emplacement final.
$ output = shell_exec ('ClamScan --stout'. EscapeshelLarg ($ _ fichiers ['filetouplload'] ['tmp_name']));
if (strPos ($ output, 'infecté')! == false) {
// rejeter le fichier
}Ce n'est pas infaillible, mais mieux mieux que désolé.
C'est la configuration de base. Vous pouvez faire plus en fonction des besoins de votre application - comme la numérisation du virus, les images de filigrane ou la génération de miniatures - mais ces étapes couvrent les vulnérabilités les plus courantes. Les téléchargements de fichiers sont délicats, mais avec quelques vérifications solides, elles peuvent être gérées en toute sécurité.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Comment combiner deux tableaux PHP uniques?
Jul 02, 2025 pm 05:18 PM
Pour fusionner deux tableaux PHP et conserver des valeurs uniques, il existe deux méthodes principales. 1. Pour les réseaux d'index ou uniquement la déduplication, utilisez Array_merge et Array_Unique Combinaisons: First Merge Array_merge ($ array1, $ array2), puis utilisez Array_Unique () pour les dédupliquer pour enfin obtenir un nouveau tableau contenant toutes les valeurs uniques; 2. Pour les tableaux associatifs et souhaitez conserver les paires de valeurs clés dans le premier tableau, utilisez l'opérateur: $ result = $ array1 $ array2, ce qui garantira que les clés du premier tableau ne seront pas écrasées par le deuxième tableau. Ces deux méthodes s'appliquent à des scénarios différents, selon que le nom de clé est conservé ou que l'accent est mis sur
Comment utiliser la fonction de sortie PHP?
Jul 03, 2025 am 02:15 AM
Exit () est une fonction de PHP qui est utilisée pour terminer l'exécution du script immédiatement. Les utilisations courantes incluent: 1. Terminez le script à l'avance lorsqu'une exception est détectée, comme le fichier n'existe pas ou que la vérification échoue; 2. Résultats intermédiaires de sortie pendant le débogage et l'arrêt de l'exécution; 3. Appelez Exit () après la redirection en conjonction avec Header () pour empêcher l'exécution de code ultérieure; De plus, Out () peut accepter les paramètres de cha?ne en tant que contenu de sortie ou entiers comme code d'état, et son alias est DIE ().
Application de la structure sémantique avec article, section et mis à part en HTML
Jul 05, 2025 am 02:03 AM
L'utilisation rationnelle des balises sémantiques dans HTML peut améliorer la clarté de la structure des pages, l'accessibilité et les effets SEO. 1. Utilisé pour des blocs de contenu indépendants, tels que des articles de blog ou des commentaires, il doit être autonome; 2. Utilisé pour le contenu lié à la classification, incluant généralement des titres, et convient à différents modules de la page; 3. Utilisé pour les informations auxiliaires liées au contenu principal mais pas au c?ur, telles que les recommandations de barres latérales ou les profils d'auteur. Dans le développement réel, les étiquettes doivent être combinées et autres, éviter une nidification excessive, garder la structure simple et vérifier la rationalité de la structure via les outils du développeur.
Comment créer un tableau en php?
Jul 02, 2025 pm 05:01 PM
Il existe deux fa?ons de créer un tableau en PHP: utilisez la fonction Array () ou utilisez des supports []. 1. L'utilisation de la fonction Array () est une manière traditionnelle, avec une bonne compatibilité. Définir des tableaux d'index tels que $ fruits = array ("Apple", "banana", "orange") et des tableaux associatifs tels que $ user = array ("name" => "John", "age" => 25); 2. L'utilisation de [] est un moyen plus simple de prendre en charge depuis PHP5.4, comme $ couleur
L'opération demandée nécessite des fenêtres d'altitude
Jul 04, 2025 am 02:58 AM
Lorsque vous rencontrez l'invite "Cette opération nécessite une escalade des autorisations", cela signifie que vous avez besoin d'autorisations d'administrateur pour continuer. Les solutions incluent: 1. Cliquez avec le bouton droit sur le programme "Exécuter en tant qu'administrateur" ou définissez le raccourci pour toujours exécuter en tant qu'administrateur; 2. Vérifiez si le compte courant est un compte administrateur, sinon, commutateur ou demande d'assistance administratrice; 3. Utiliser les autorisations de l'administrateur pour ouvrir une invite de commande ou PowerShell pour exécuter des commandes pertinentes; 4. contourner les restrictions en obtenant la propriété du fichier ou en modifiant le registre lorsque cela est nécessaire, mais ces opérations doivent être prudentes et comprendre pleinement les risques. Confirmer l'identité de l'autorisation et essayer les méthodes ci-dessus résolvez généralement le problème.
PHP RAW Post Data PHP
Jul 02, 2025 pm 04:51 PM
La fa?on de traiter les données du post brut en php est d'utiliser $ rawdata = file_get_contents ('php: // entrée'), qui convient à la réception de JSON, XML ou d'autres données de format personnalisées. 1.Php: // L'entrée est un flux en lecture seule, qui n'est valide que dans les demandes de poste; 2. Les problèmes courants incluent la configuration du serveur ou les flux d'entrée de lecture du middleware, ce qui rend impossible l'obtention de données; 3. 4. La différence par rapport à $ _POST est que $ _post analyse automatiquement les données de formulaire standard, tandis que les données d'origine conviennent aux formats non standard et permet l'analyse manuelle; 5. HTM ordinaire
Comment gérer les téléchargements de fichiers en toute sécurité dans PHP?
Jul 08, 2025 am 02:37 AM
Pour gérer en toute sécurité les téléchargements de fichiers PHP, vous devez vérifier la source et taper, contr?ler le nom et le chemin du fichier, définir les restrictions du serveur et traiter les fichiers multimédias deux fois. 1. Vérifiez la source de téléchargement pour empêcher le CSRF via le jeton et détecter le type de mime réel via FINFO_FILE en utilisant le contr?le de liste blanche; 2. Renommez le fichier à une cha?ne aléatoire et déterminez l'extension pour la stocker dans un répertoire non Web en fonction du type de détection; 3. La configuration PHP limite la taille de téléchargement et le répertoire temporaire Nginx / Apache interdit l'accès au répertoire de téléchargement; 4. La bibliothèque GD résait les images pour effacer des données malveillantes potentielles.
Comment passer les variables par valeur par rapport à la référence en php?
Jul 08, 2025 am 02:42 AM
INPHP, VariablesRaSepassedByValueByDefault, ce qui signifie que les fonctionnalités sont de réception de produits de réception.
