Français
Français
Avec le développement rapide d'Internet, de plus en plus de sites Web choisissent PHP comme langue de développement. Cependant, l'ouverture et la flexibilité de PHP en font également l'une des cibles des pirates. Les attaques de téléchargement de fichiers malveillantes sont l'une des façons les plus courantes d'attaquer. Les pirates peuvent contrôler le site Web ou voler des informations sensibles aux utilisateurs en téléchargeant des fichiers contenant du code malveillant. Afin de garantir la sécurité des sites Web PHP, cet article introduira plusieurs méthodes de protection efficaces et codes d'échantillons.
Tout d'abord, nous devons vérifier le type de fichiers téléchargés et limiter les types de fichiers autorisés à être téléchargés pour éviter les téléchargements de fichiers illégaux. Grâce à la variable $ _files de PHP, vous pouvez obtenir le type de fichier téléchargé et le comparer avec le type autorisé. Voici un exemple simple de code:
<?php<br> $ allowingTypes = array ('image / jpeg', 'image / png', 'image / gif');<br> $ Téléchargé defileType = $ _files ['Fichier'] ['Type'];<br> if (in_Array ($ uploadedFileType, $ allowingTypes)) {<br> // continue de traiter la logique de téléchargement de fichiers<br> } autre {<br> ECHO «Télécharger uniquement les fichiers d'image»;<br> }<br> ?>En plus de vérifier les types de fichiers, nous devons également limiter la taille des fichiers téléchargés. En limitant la taille des fichiers téléchargés, les pirates peuvent empêcher le téléchargement de fichiers trop volumineux, affectant les ressources du serveur ou effectuant des opérations malveillantes. Voici l'exemple de code correspondant:
<?php<br> $ maxFileSize = 1024 * 1024; // limite à 1 Mo<br> $ TéléchargedFileSize = $ _files ['Fichier'] ['Size'];<br> if ($ TéléchargéfileSize <= $ maxFileSize) {<br> // continue de traiter la logique de téléchargement de fichiers<br> } autre {<br> Echo 'Télécharger la taille du fichier dépasse la limite';<br> }<br> ?>Afin d'éviter le téléchargement de fichiers malveillants et les exécuter, nous pouvons modifier le nom et le chemin du fichier téléchargé. Générez un nouveau nom de fichier en utilisant des horodatages ou des chaînes aléatoires au lieu d'utiliser le nom de fichier d'origine téléchargé directement par l'utilisateur. De plus, il est recommandé d'enregistrer le fichier téléchargé dans un répertoire racine non Web pour éviter l'accès direct au fichier téléchargé. Voici des exemples de code liés:
<?php<br> $ uploadDirectory = '/ path / to / upload / dossier /'; // Modifier dans le répertoire de fichiers de téléchargement réel<br> $ Téléchargé defileName = time (). '_'. Rand (1000, 9999). '_'. $ _Files ['fichier'] ['name'];<br> $ TéléchargéFilePath = $ uploadDirectory. $ Téléchargé de FileName;<br> if (move_uploaded_file ($ _ fichiers ['file'] ['tmp_name'], $ uploadFilePath)) {<br> // Le téléchargement de fichiers est réussi, continuez à traiter d'autres logiques commerciales<br> } autre {<br> Echo 'Fichier Fichier Ftelod';<br> }<br> ?>Restreindre les fichiers à télécharger en créant une liste blanche. Vous pouvez vous assurer que seuls les utilisateurs légitimes peuvent télécharger des fichiers en vérifiant l'adresse IP de la demande de téléchargement et en la faisant correspondre avec la liste blanche. Voici l'exemple de code pertinent:
<?php<br> $ perladetips = array ('127.0.0.1', '192.168.0.1'); // Modifier à une adresse IP de confiance<br> $ uploadEDIP = $ _Server ['Remote_addr'];<br> if (in_Array ($ uploadedip, $ allomedips)) {<br> // continue de traiter la logique de téléchargement de fichiers<br> } autre {<br> écho «aucune autorisation de télécharger des fichiers»;<br> }<br> ?>Grâce aux mesures ci-dessus, les sites Web PHP peuvent grandement empêcher les attaques de téléchargement de fichiers malveillantes. Cependant, la sécurité du site Web est un processus continu qui nécessite des mises à jour continues et des mesures de protection améliorées. Les vulnérabilités régulières du système, en utilisant la dernière version PHP et en restant alerte sont des étapes importantes pour assurer la sécurité du site Web.
