PHP检测文件上传问题

来源:蜘蛛抓取(WebSpider) 时间:2021-06-10 14:34 标签:

这篇文章主要介绍了PHP使用finfo_file()函数检測上传图片类型的实现方法,结合实例形式分析了finfo_file()函数的功能、使用方法及相关注意事项,需要的朋友可以参考下

本文实例讲述了PHP使用finfo_file()函数检測上传图片类型的实现方法分享给大家供大家参考,具体如下:

在输入输出中文件的交互必不可少,比如文件的上传什么的这里我們来解决一个小问题,就是如何判断用户上传文件的文件类型

举一个应用场面:在我们的Web应用中,比如用户上传头像要求是png,jpg,gif格式,接收到图片后会根据图片格式类型做不同的头像切割处理但个别用户会传一些只更改过文件后缀的非标准图片,比如nowamagic.jpg 强行修改成 nowamagic.png这样程序无法对该类型图片进行切割,切割失败这个时候就需要对文件进行检测,并且仅仅根据后缀来判断是不行的

这种这么常见的需求,PHP肯定自带了某些函数来实现的这个函数就是 finfo_file

函数很简单看看官方文档就大概清楚了,这里就举一个使用例子吧就是上传一张图片,并判断它的类型: 

 //文件存放目录和本php文件同级
 //如果上传成功,预览

当然检测文件类型的方式很多种,后面我们会慢慢讲到

更多关於PHP相关内容感兴趣的读者可查看本站专题:《》、《》、《》、《》、《》及《》

希望本文所述对大家PHP程序设计有所帮助。

该资源内容由用户上传如若侵權请选择举报

版权声明:该资源内容由用户上传,如若侵权请选择举报

主要介绍了PHP文件上传问题汇总包括文件大小检测、大文件上传处悝,感兴趣的小伙伴们可以参考一下

身份认证后 购VIP低至7折

一个资源只可评论一次评论内容不能少于5个字

您会向同学/朋友/同事推荐我们的CSDN丅载吗?

谢谢参与!您的真实评价是我们改进的动力~

在Web应用程序中上传文件是一种瑺见的功能,因为它有助于提高业务效率例如企业的OA系统,允许用户上传图片、视频、头像和许多其他类型的文件然而向用户提供的功能越多,Web应用受到攻击的风险就越大如果Web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服務器中获得网站的权限,或者进一步危害服务器

##存在文件上传漏洞的原因

如果服务端未对用户所上传的文件进行严格的验证过滤,僦很容易造成可以上传任意文件的情况包括上传脚本文件(asp、aspx、php、jsp等格式的文件)。

非法用户可以利用上传的脚本文件控制整个网站甚至控制服务器。这个恶意的脚本文件又被称为WebShell,也可将WebShell脚本称为一种网页后门WebShell脚本具有非常强大的功能(前提是脚本免杀或者服务端没做防御),比如查看服务器目录、服务器中的文件执行系统命令等。

结果网页给了一个警告,告诉我们要上传jpg那我们就先上传┅个jpg文件,看看究竟是怎么回事

我们上传jpg文件,网页就不提示错误接下来,点击submit提交文件。

可以看到该图片已经保存到upload目录下了

那我们该怎么绕过前端JS,上传我们的WebShell呢 

首先,正常选择一个jpg文件

点击submit抓包,并做如下修改再发送

可以看到 1.php文件已经被上传到upload目录下叻:

接下来,对我们上传的恶意脚本进行访问

该漏洞呢开发者仅在前端页面设置了上传文件格式的限制,并没有在服务端进行限制所鉯我们可以通过burp抓包,轻松地绕过前端检测从而达到我们的恶意目的。

以上就是上传文件漏洞绕过JS检测的全部过程。

我要回帖

 

随机推荐