Deutsch
Deutsch
Mit der schnellen Entwicklung des Internets wählen immer mehr Websites PHP als Entwicklungssprache. Offenheit und Flexibilität von PHP machen es jedoch auch zu einem der Ziele von Hackern. Upload -Angriffe für böswillige Dateien sind eine der häufigsten Angriffsmöglichkeiten. Hacker können die Website steuern oder vertrauliche Informationen von Benutzern stehlen, indem sie Dateien mit böswilligen Code hochladen. Um die Sicherheit von PHP -Websites zu gewährleisten, werden in diesem Artikel mehrere effektive Schutzmethoden und Stichprobencodes eingeführt.
Zunächst müssen wir den Typ der hochgeladenen Dateien überprüfen und die Arten von Dateien einschränken, die hochgeladen werden dürfen, um illegale Dateien -Uploads zu vermeiden. Durch die $ _files -Variable von PHP können Sie den Typ der hochgeladenen Datei abrufen und mit dem zulässigen Typ vergleichen. Hier ist ein einfacher Beispielcode:
<?php<br> $ duldtypes = array ('image/jpeg', 'image/png', 'image/gif');<br> $ UploadedFileType = $ _files ['Datei'] ['Typ'];<br> if (in_array ($ hochgeladene fileType, $ duldtypes)) {<br> // Verarbeiten Sie die Datei -Hochladen -Logik fort<br> } anders {<br> echo 'nur Bilddateien hochladen';<br> }<br> ?>Zusätzlich zum Überprüfen von Dateitypen müssen wir die Größe der hochgeladenen Dateien einschränken. Durch die Begrenzung der Größe von hochgeladenen Dateien können Hacker verhindern, dass das Hochladen von zu großen Dateien, die die Serverressourcen beeinflussen oder böswillige Vorgänge ausführen. Hier ist das entsprechende Code -Beispiel:
<?php<br> $ maxFileSize = 1024 * 1024; // Begrenzung auf 1 MB<br> $ UploadedFileSize = $ _files ['Datei'] ['Größe'];<br> if ($ hochgeladene fileSize <= $ maxFileSize) {<br> // Verarbeiten Sie die Datei -Hochladen -Logik fort<br> } anders {<br> echo 'hochladen Dateigröße überschreitet die Grenze';<br> }<br> ?>Um zu verhindern, dass böswillige Dateien hochgeladen und ausführt, können wir den Namen und Pfad der hochgeladenen Datei ändern. Generieren Sie einen neuen Dateinamen, indem Sie Zeitstempel oder zufällige Zeichenfolgen verwenden, anstatt den Original -Dateinamen zu verwenden, der direkt vom Benutzer hochgeladen wurde. Zusätzlich wird empfohlen, die hochgeladene Datei in einem Stammverzeichnis ohne Web zu speichern, um einen direkten Zugriff auf die hochgeladene Datei zu vermeiden. Im Folgenden sind verwandte Codebeispiele:
<?php<br> $ uploadDirectory = '/path/to/upload/order/'; // Ändern Sie das tatsächliche Upload -Dateiverzeichnis<br> $ uploadedFileName = time (). '_'. Rand (1000, 9999). '_'. $ _Files ['Datei'] ['Name'];<br> $ UploadedFilePath = $ uploadDirectory. $ uploadedFileName;<br> if (move_uploaded_file ($ _ file ['Datei'] ['tmp_name'], $ hochgeladene filepath)) {<br> // Datei -Upload ist erfolgreich, um andere Geschäftslogik weiter zu verarbeiten<br> } anders {<br> echo 'Datei -Upload fehlgeschlagen';<br> }<br> ?>Beschränken Sie die zugeladenen Dateien, indem Sie einen Whitelist erstellen. Sie können sicherstellen, dass nur legitime Benutzer Dateien hochladen können, indem Sie die IP -Adresse der Upload -Anforderung überprüfen und mit der Whitelist übereinstimmen. Das Folgende ist der entsprechende Beispielcode:
<?php<br> $ erlaubte und array ('127.0.0.1', '192.168.0.1'); // an eine vertrauenswürdige IP -Adresse ändern<br> $ uploadedip = $ _server ['remote_addr'];<br> if (in_array ($ uploadedip, $ duldsIps)) {<br> // Verarbeiten Sie die Datei -Hochladen -Logik fort<br> } anders {<br> echo 'keine Erlaubnis zum Hochladen von Dateien';<br> }<br> ?>Durch die oben genannten Maßnahmen können PHP -Websites maßgeblich verhindern, dass böswillige Datei -Upload -Angriffe hochgeladen werden. Die Sicherheit der Website ist jedoch ein fortlaufender Prozess, der kontinuierliche Aktualisierungen und erweiterte Schutzmaßnahmen erfordert. Das regelmäßige Patching -System -Schwachstellen, die Verwendung der neuesten PHP -Version und die Alarmversorgung sind wichtige Schritte, um die Sicherheit der Website zu gewährleisten.
