php - 阻止人们通过表单上传恶意 PHP 文件

Question

我在我的网站上用 php 创建了一个上传表单，人们可以在其中上传 zip 文件。然后解压缩 zip 文件，并将所有文件位置添加到数据库中。上传表单仅供人们上传图片，显然，文件位于 zip 文件夹内，我无法检查正在上传的文件，直到文件被解压缩。我需要一段代码来删除所有不是图像格式(.png、.jpeg 等)的文件。我真的很担心人们能够上传恶意的php文件，安全风险很大!我还需要了解人们试图绕过此安全功能而更改 php 文件的扩展名。

这是我使用的原始脚本 http://net.tutsplus.com/videos/screencasts/how-to-open-zip-files-with-php/

这是实际提取 .zip 文件的代码:

function openZip($file_to_open) {
    global $target;

    $zip = new ZipArchive();
    $x = $zip->open($file_to_open);
    if($x === true) {
        $zip->extractTo($target);
        $zip->close();

        unlink($file_to_open);
    } else {
        die("There was a problem. Please try again!");
    }
}

谢谢，本。

Answer 1

Im really worried about people being able to upload malicious php files, big security risk!

冰山一角!

i also need to be aware of people changing the extensions of php files trying to get around this security feature.

通常更改扩展名会阻止 PHP 将这些文件解释为脚本。但这并不是唯一的问题。除了“...php”之外，还有更多东西会损坏服务器端； “.htaccess”和设置了 X 位的文件是显而易见的，但绝不是您需要担心的全部。即使忽略服务器端的东西，也有一个巨大的客户端问题。

例如，如果有人可以上传“.html”文件，他们可以在其中包含一个