PHP保护文件系统的具体代码分享

开发 后端
PHP保护文件系统是非常凑效的。我们在文章中使用了PHP站点示例,来帮助大家解决文件系统的保护问题,增加PHP的经验积累。

文件系统对于任何一个站点来说都是相当重要的,程序员们都在不遗余力的保护着自己的系统不受侵犯。今天我们就为大家讲解了PHP保护文件系统的具体代码示例。曾经有一个 Web 站点泄露了保存在 Web 服务器的文件中的客户数据。该 Web 站点的一个访问者使用 URL 查看了包含数据的文件。虽然文件被放错了位置,但是这个例子强调了针对攻击者保护文件系统的重要性。

#t#如果 PHP 应用程序对文件进行了任意处理并且含有用户可以输入的变量数据,请仔细检查用户输入以确保用户无法对文件系统执行任何不恰当的操作。清单 1 显示了下载具有指定名的图像的 PHP 站点示例。

  1. <?php   
  2. if ($_POST['submit'] == 'Download') {   
  3.     $file = $_POST['fileName'];   
  4.     header("Content-Type: application/x-octet-stream");   
  5.     header("Content-Transfer-Encoding: binary");   
  6.     header("Content-Disposition: attachment; filename=\"" . $file . "\";" );   
  7.     $fh = fopen($file, 'r');   
  8.     while (! feof($fh))   
  9.     {   
  10.         echo(fread($fh, 1024));   
  11.     }   
  12.     fclose($fh);   
  13. } else {   
  14.     echo("<html><head><");   
  15.         echo("title>Guard your filesystem</title></head>");   
  16.     echo("<body><form id=\"myFrom\" action=\"" . $_SERVER['PHP_SELF'] .   
  17.         "\" method=\"post\">");   
  18.     echo("<div><input type=\"text\" name=\"fileName\" value=\"");   
  19.     echo(isset($_REQUEST['fileName']) ? $_REQUEST['fileName'] : '');   
  20.     echo("\" />");   
  21.     echo("<input type=\"submit\" value=\"Download\" name=\"submit\" /></div>");   
  22.     echo("</form></body></html>");   
  23. }  

正如您所见,清单 1 中比较危险的脚本将处理 Web 服务器拥有读取权限的所有文件,包括会话目录中的文件(请参阅 “保护会话数据”),甚至还包括一些系统文件(例如 /etc/passwd)。为了进行PHP保护文件系统演示,这个示例使用了一个可供用户键入文件名的文本框,但是可以在查询字符串中轻松地提供文件名。

同时配置用户输入和文件系统访问权十分危险,因此最好把应用程序设计为使用数据库和隐藏生成的文件名来避免同时配置。但是,这样做并不总是有效。清单 2 提供了验证文件名的示例例程。它将使用正则表达式以确保文件名中仅使用有效字符,并且特别检查圆点字符:..。

  1. function isValidFileName($file) {   
  2.     /* don't allow .. and allow any "word" character \ / */   
  3.     return preg_match('/^(((?:\.)(?!\.))|\w)+$/', $file);   

以上就是本文为大家分享的PHP保护文件系统的具体代码编写。

责任编辑:曹凯 来源: CSDN
相关推荐

2009-11-24 14:52:45

PHP动态多文件上传

2009-11-24 13:33:49

2009-11-25 10:31:35

PHP数组实现单链表

2018-05-02 08:35:33

LinuxTripwire文件系统

2010-09-25 10:47:40

Linux文件系统Tripwire

2009-11-25 17:48:18

PHP文件系统相关函数

2009-12-01 14:33:06

PHP生成html文件

2009-11-25 17:28:26

PHP对话

2011-08-01 16:42:24

ibmdwNFS文件系统

2019-09-18 10:22:13

操作系统LinuxCentOSMac

2009-12-01 10:50:45

PHP函数requir

2020-07-22 14:53:06

Linux系统虚拟文件

2013-05-27 14:46:06

文件系统分布式文件系统

2010-04-30 15:51:48

Unix系统

2009-11-02 09:45:23

VB.NET文件系统对

2009-12-01 14:26:19

PHP函数ob_sta

2009-11-24 18:37:55

PHP数组转换

2011-01-13 14:10:30

Linux文件系统

2012-09-19 13:48:33

pNFS文件系统

2012-02-15 13:30:48

Linux系统安全企业安全
点赞
收藏

51CTO技术栈公众号