编辑“︁PHP文件上传安全”︁（章节）

== 安全防护措施 ==

=== 1. 文件类型验证 ===

不要依赖客户端的MIME类型，应在服务器端进行验证：

<syntaxhighlight lang="php">
$allowedTypes = ['image/jpeg', 'image/png'];
$fileType = $_FILES['uploaded_file']['type'];

if (!in_array($fileType, $allowedTypes)) {
    die("不允许的文件类型");
}
</syntaxhighlight>

=== 2. 文件扩展名验证 ===

使用白名单方式验证文件扩展名：

<syntaxhighlight lang="php">
$allowedExtensions = ['jpg', 'png', 'gif'];
$fileName = $_FILES['uploaded_file']['name'];
$fileExtension = strtolower(pathinfo($fileName, PATHINFO_EXTENSION));

if (!in_array($fileExtension, $allowedExtensions)) {
    die("不允许的文件扩展名");
}
</syntaxhighlight>

=== 3. 文件内容验证 ===

对于图片文件，可以使用getimagesize()函数验证：

<syntaxhighlight lang="php">
$imageInfo = getimagesize($_FILES['uploaded_file']['tmp_name']);
if ($imageInfo === false) {
    die("上传的不是有效的图片文件");
}
</syntaxhighlight>

=== 4. 文件大小限制 ===

限制上传文件的大小：

<syntaxhighlight lang="php">
$maxSize = 2 * 1024 * 1024; // 2MB
if ($_FILES['uploaded_file']['size'] > $maxSize) {
    die("文件大小超过限制");
}
</syntaxhighlight>

=== 5. 重命名上传文件 ===

避免使用用户提供的文件名，防止目录遍历攻击：

<syntaxhighlight lang="php">
$newFileName = uniqid() . '.' . $fileExtension;
$uploadFile = $uploadDir . $newFileName;
</syntaxhighlight>

=== 6. 设置正确的文件权限 ===

上传目录应限制执行权限：

<syntaxhighlight lang="php">
chmod($uploadFile, 0644); // 只允许读写，不允许执行
</syntaxhighlight>