PHPファイルのアップロード脆弱性を防ぐには、まずアップロードされたコンテンツを厳密に制御する必要があります。 1.サーバー側(cè)のファイルタイプを常に確認(rèn)し、finfo_file（）またはmime_content_type（）を使用して実際のmimeタイプを確認(rèn)し、ホワイトリストメカニズムを確立します。 2。ユーザーの入力を信頼しないでください。フロントエンドの検証のみに依存することを拒否します。 3.アップロード後にファイルの名前を変更し、実行リスクを避けるためにランダムに生成されたファイル名を使用します。 4.正しいディレクトリ権限を設(shè)定し、.htaccessを介してファイルタイプアクセスを制限するなど、スクリプトの実行を禁止します。 5.非公開(kāi)のディレクトリにファイルを保存し、スクリプトを介してアクセスサービスを提供するようにしてください。 6.定期的にアップロードされたコンテンツをスキャンしたり、畫(huà)像EXIFデータを取り除いたり、ImageMagickを使用して畫(huà)像を再処理して潛在的な悪意のあるコードをクリアします。

PHPのファイルアップロードの脆弱性を防ぐための最良の方法は、ユーザーが優(yōu)れていると仮定するだけでなく、アップロードされるものを制御することです。多くのセキュリティの問(wèn)題は、タイプ、コンテンツ、またはその処理方法をチェックせずにサーバーに直接ファイルを送信できるようにすると、多くのセキュリティの問(wèn)題が始まります。

サーバー側(cè)のファイルタイプを常に検証します

JavaScriptのようなクライアント側(cè)のチェックを簡(jiǎn)単にバイパスすることができるため、単獨(dú)で頼ることはありません。サーバー側(cè)では、ファイルの拡張機(jī)能を確認(rèn)しないでください。攻撃者は、悪意のあるファイルの名前を変更して畫(huà)像やPDFのように見(jiàn)えることができます。代わりに、 finfo_file()または同様の関數(shù)を使用して、実際のファイルMIMEタイプを検査します。

それでも完璧ではありません。悪意のあるファイルには、Mimeタイプを偽造できます。さらに良いことに、許可された拡張機(jī)能とMIMEタイプのホワイトリストを作成し、正確に一致しないものを拒否します。

やるべきこと：

• mime_content_type()またはfinfo_open()を使用して、実際のファイルタイプを確認(rèn)します
• 許可されたタイプのリストと比較してください（たとえば、 'image/jpeg' 、 'image/png'のみ）
• ユーザーの入力を信頼しないでください - 常にすべてのサーバー側(cè)を再確認(rèn)してください

アップロードされたファイルの名前を変更します

ユーザーが元のファイル名を維持すると、既存のファイルを上書(shū)きしたり、 shell.phpなどの名前を使用して実行可能なスクリプトをアップロードするドアを開(kāi)けます。これを回避するには、常にファイルをランダムなものに変更したり、システムによって生成されたりしてください。

たとえば、関數(shù)を使用して、 md5(uniqid()) . '.jpg' - このようにして、アップロードされたファイルに直接アクセスしようとする攻撃者に対する當(dāng)て推量はありません。

また、可能であれば、Webアクセス可能なディレクトリの外部にアップロードを保存するか、少なくとも.htaccessまたはサーバー構(gòu)成を介してそのフォルダーの実行を制限していることを確認(rèn)してください。

適切なディレクトリアクセス許可を設(shè)定します

アップロードされたファイルを保存する場(chǎng)所は非常に重要です。アップロードディレクトリは、スクリプトの実行を許可してはなりません。 Apacheでは、 .htaccessを使用して実行をブロックできます。

 <filesmatch "\。（php | pl | py | jsp | asp | sh | cgi）$">
    注文拒否、許可
    すべてから否定します
</filesmatch>

また、アップロードフォルダーに正しい権限があることを確認(rèn)してください。通常、 755は安全です。絶対に必要でない限り、そしてそれでも再考しない限り、すべての人に書(shū)き込み許可を與えないでください（ 777 ）。

いくつかのヒント：

• Uploads Non-Publicディレクトリに保存し、スクリプトを介して提供する
• ユーザーがアップロードされたファイルに直接アクセスできるようにしないでください
• 機(jī)密性の高い環(huán)境を扱う場(chǎng)合、アップロードされたコンテンツを定期的にスキャンします

悪意のあるコンテンツをスキャンします

忘れがちですが、有効な畫(huà)像ファイルでさえ埋め込まれたマルウェアを含めることができます。一部の攻撃者は、ファイルの畫(huà)像メタデータまたは未使用のセクション內(nèi)のコードを非表示にします。 PHP自體はデフォルトではこれらを?qū)g行しませんが、他のツールやライブラリはそうする可能性があります。

重要なシステムを処理している場(chǎng)合は、アンチウイルススキャンを使用するか、 exif_read_data()などの関數(shù)を使用して畫(huà)像からexifデータを縞模様にするなどの基本的なチェックを?qū)g行し、クリーンバージョンを保存します。

ImageMagickなどのツールを使用して畫(huà)像を再処理することもできます。これにより、隠されたペイロードが削除されることがよくあります。

それは基本的にそれです。それはロケット科學(xué)ではありませんが、細(xì)部への注意が必要です。ほとんどのファイルアップロードの問(wèn)題は、ショートカットを取得したり、間違ったレイヤーを信頼したりすることから生じています（フロントエンドの検証など）?；兢蛘筏肖Δ?、ほとんどの攻撃ベクトルを閉じます。

以上がPHPのファイルアップロードの脆弱性を防ぐにはどうすればよいですか？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。