PHP文件上传安全关键在于切断执行路径:上传目录须置于Web根目录外,或在Web服务器层禁用脚本执行;必须用finfo_open(FILEINFO_MIME_TYPE)校验真实MIME,配合后缀白名单与文件名清理。
PHP文件上传时如何防止恶意文件执行
PHP默认不会阻止用户上传.php、.phtml、.htaccess等可被Web服务器解析的文件,一旦存到Web可访问目录,就可能被直接执行。关键不是“拦住什么后缀”,而是切断执行路径。
- 上传目录**绝对不能**放在
DocumentRoot下(如/var/www/html/uploads/),应移至Web根目录外,例如/var/www/storage/uploads/ - 若必须放Web目录内,需在Web服务器层禁用脚本执行:Nginx中对上传目录加
location ~ \.(php|phtml|php3|php4|php5|php7|php8|sh|pl|py|jsp|asp|aspx|cgi|exe|bat|cmd)$ { deny all; };Apache则用php_flag engine off或RemoveHandler .php - 不要只依赖
$_FILES['file']['type']——它由浏览器提供,完全可伪造;也不要只检查pathinfo($filename, PATHINFO_EXTENSION),因为shell.php.jpg仍可能被某些旧版Apache当作PHP执行
如何用finfo_open()做真实MIME校验
$_FILES['file']['type']不可信,getimagesize()只适用于图片,而finfo_open()能读取文件二进制头(magic bytes),是PHP里最可靠的MIME探测方式。
if (isset($_FILES['file']) && $_FILES['file']['error'] === UPLOAD_ERR_OK) {
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);
$allowed_mimes = ['image/jpeg', 'image/png', 'application/pdf'];
if (!in_array($mime, $allowed_mimes)) {
die('不支持的文件类型');
}
}
- 必须用
FILEINFO_MIME_TYPE(不是FILEINFO_MIME),后者会返回带字符集的完整字符串,如text/plain; charset=us-ascii,匹配更复杂 - 注意
finfo_open()可能失败(如系统没装fileinfo扩展),需加if (!$finfo)兜底 - 即使MIME合法,也要配合后缀白名单(如
pdf只允许.pdf),因为攻击者可构造PDF头+PHP代码的混合文件
Laravel/Symfony等主流框架的上传存储实践差异
主流PHP框架已封装基础上传逻辑,但默认配置常忽略安全边界,需手动加固。
- Laravel的
$request->file('avatar')->store('avatars')默认存到storage/app/,该目录**不在Web路径下**,是安全的;但若用->storePublicly(),会存到public/storage/,此时必须确保Web服务器已禁用该目录下的PHP执行 - Symfony的
UploadedFile::move()不自动校验MIME,需手动调用finfo_open()或使用symfony/mime组件的MimeTypes::guessMimeType() - 所有框架都不处理文件名中的
../或空字节(%00),上传前务必用basename()清理文件名,并过滤\0、/、\
大文件上传与分片上传的常见断点陷阱
PHP默认限制upload_max_filesize和post_max_size,但真正难处理的是超时、中断续传和重复提交。
立即学习“PHP免费学习笔记(深入)”;
-
前端分片上传时,服务端收到
part_001、part_002等临时块,**不要直接拼接并执行move_uploaded_file()**——攻击者可替换某一片为恶意内容,导致最终文件被污染 - 建议用
sha256_file()校验每一片哈希,再用hash_hmac('sha256', $content, $secret_key)签名整个文件ID,防止篡改分片顺序 - PHP的
max_execution_time和max_input_time在上传大文件时极易超时,应设为0(不限制)或改用异步队列(如Supervisor + Redis)处理最终合并
