PHP创建文件如何确保安全_防止路径遍历攻击的验证【指南】

2次阅读

应使用 basename() 提取文件名并配合白名单校验,再用 realpath() 确认路径在授权目录内,上传文件必须用 move_uploaded_file(),同时禁用危险 php 配置和 web 服务器执行权限。

PHP创建文件如何确保安全_防止路径遍历攻击的验证【指南】

basename() 提取文件名,别信用户传来的完整路径

用户提交的文件名(比如通过表单、URL参数)如果直接拼进 fopen()file_put_contents(),就等于把目录穿越的钥匙交出去。攻击者传 ../../etc/passwd 这类路径,PHP 不会自动拦截——它照常解析、访问、写入。

正确做法是剥离路径部分,只保留合法文件名:

  • basename($user_input) 强制截断所有上级目录符号,basename('../../config.php') 返回 config.php
  • 再配合白名单校验:只允许字母、数字、下划线、短横线,拒绝点号(.)、斜杠、空字节等,例如用 preg_match('/^[a-zA-Z0-9_-]{1,64}$/', $filename)
  • 注意:basename()%2e%2e%2f(URL 编码的 ../)无效,必须先 urldecode() 再处理,或统一在接收后立刻解码并净化

写入前用 realpath() 和白名单根目录比对

即使文件名看起来干净,攻击者也可能利用符号链接、绕过 basename() 的 Unicode 变体(如全角点)、或结合服务器配置触发非预期解析。最稳妥的是:构造出完整目标路径后,用 realpath() 解析其真实物理位置,并确认是否落在你授权的目录内。

示例逻辑:

立即学习PHP免费学习笔记(深入)”;

define('UPLOAD_ROOT', '/var/www/uploads'); $target = UPLOAD_ROOT . '/' . basename($_POST['filename']); $real_target = realpath($target); if ($real_target === false || strpos($real_target, realpath(UPLOAD_ROOT)) !== 0) {     die('非法路径'); } file_put_contents($real_target, $content);
  • realpath() 会返回 false 如果路径不存在或不可访问,这点必须检查,否则可能绕过
  • strpos(..., realpath(UPLOAD_ROOT)) !== 0 是关键:必须用 !== 0,因为 0 是合法的起始位置,而 == false 会把 0 当作失败
  • 确保 UPLOAD_ROOT 是绝对路径,且不依赖用户输入动态拼接

禁用危险的 PHP 配置项,从运行时层面堵漏

光靠代码过滤不够,得让服务器环境本身拒绝可疑行为。检查 php.ini 中以下几项:

  • open_basedir:设为明确的根目录(如 /var/www:/tmp),PHP 将无法访问该范围外的任何文件,包括 ../ 跳转后的路径
  • allow_url_fopen = Off:防止通过 http://php://Filter 等协议触发远程文件读取或写入
  • disable_functions 中加入 symlink,shell_exec,exec,passthru,system,降低被利用后提权或探测系统的能力
  • Web 服务器(如 nginx/apache)也应配置禁止执行上传目录下的 PHP 文件,例如 Nginx 中加 location ~ ^/uploads/.*.php$ { deny all; }

move_uploaded_file() 处理上传,别用 copy()file_put_contents() 直接写

用户上传文件时,PHP 会把临时文件放在 upload_tmp_dir 下,$_FILES['xxx']['tmp_name'] 指向它。此时若用 copy()file_put_contents() 写入目标路径,就又回到了路径拼接的老问题。

move_uploaded_file() 是唯一安全的选择,它内部做了两件事:

  • 验证 tmp_name 确实来自本次上传(不是伪造的路径)
  • 拒绝将文件移出指定目标目录(即目标路径必须是 realpath() 后仍在白名单内的位置)
  • 使用时仍需配合 basename()realpath() 校验目标路径,但底层多了一层保护

典型用法:

$upload_dir = '/var/www/uploads/'; $filename = basename($_FILES['file']['name']); $target = $upload_dir . $filename; if (move_uploaded_file($_FILES['file']['tmp_name'], $target)) {     // 成功 }

路径遍历真正的难点不在「怎么拦」,而在「哪里拦」——过滤必须发生在路径拼接之后、文件操作之前;realpath() 必须调用且结果必须严格比对;上传和普通写入要走不同流程。漏掉任意一环,都可能被绕过。

发表于:开发工具
近三天内
# apache# copy# Filter# fopen# http# location# nginx# php# strpos# var
复制链接
如何让自定义类在 dataclasses.asdict() 中正确序列化
composer如何与PHP CS Fixer配合自动格式化代码?
如何通过 VSCode 的 API 扩展编辑器本身的功能?
PHP 中幂运算符 与按位异或运算符 ^ 的本质区别
text=ZqhQzanResources