PHP文件上传绕过_PHP文件上传安全绕过技巧

煙雲

发布时间：2026-01-19 20:58:02

724人浏览过

来源于php中文网

原创

$_FILES'file'完全不可信，因其由浏览器伪造，服务端必须用finfo_file()校验文件头，并配合扩展名严格解析、上传目录禁解析、重命名存储及Web目录外隔离等多重防御。

php文件上传绕过_php文件上传安全绕过技巧

为什么 `$_FILES` 的 `type` 字段完全不可信

浏览器提交的 $_FILES['file']['type'] 是前端 JavaScript 或表单中 enctype 生成的 MIME 类型，服务端未做任何校验就直接信任它，等于把文件类型判断权交给了攻击者。比如上传一个 shell.php，只要前端伪造 Content-Type: image/jpeg，PHP 就会记录为 image/jpeg —— 实际后缀和内容完全不受影响。

实操建议：

绝不能用 $_FILES['file']['type'] 做白名单过滤
若需 MIME 判断，改用 finfo_file() 在服务端真实读取文件头（注意：仍需配合其他手段，因为头部可伪造）
最稳妥方式是忽略所有客户端传来的类型信息，只依赖服务端解析 + 文件扩展名黑名单 + 内容检测

绕过扩展名检查的常见手法及防御要点

很多开发者只简单用 pathinfo($filename, PATHINFO_EXTENSION) 取后缀，再比对白名单，这极易被绕过。攻击者会利用大小写、多点、空字节、编码等方式欺骗解析逻辑。

典型绕过示例：

立即学习“PHP免费学习笔记（深入）”；

shell.PHP → 大小写绕过（Windows/IIS 对大小写不敏感）
shell.php.jpg → 多点截断（部分旧版 Apache + mod_php 会取最后一个点后的后缀）
shell.php%00.jpg → 空字节截断（PHP 5.3.4 之前，move_uploaded_file() 遇到 %00 会截断）
shell.php. 或 shell.php → 特殊空白字符干扰 pathinfo 解析

防御建议：

ECTouch移动商城系统

ECTouch是上海商创网络科技有限公司推出的一套基于 PHP 和 MySQL 数据库构建的开源且易于使用的移动商城网店系统！应用于各种服务器平台的高效、快速和易于管理的网店解决方案，采用稳定的MVC框架开发，完美对接ecshop系统与模板堂众多模板，为中小企业提供最佳的移动电商解决方案。ECTouch程序源代码完全无加密。安装时只需将已集成的文件夹放进指定位置，通过浏览器访问一键安装，无需对已有

下载

使用 strrchr() 或正则严格提取「最后一个点之后且不含空白/控制字符」的扩展名
统一转为小写后再比对白名单
禁用危险扩展名时，必须同时禁用其变体：php3、phtml、php5、phar、htaccess 等
上传目录禁止解析 PHP，例如 Nginx 中配置 location ~ \.php$ { deny all; }

`getimagesize()` 不是安全检查的银弹

有人误以为调用 getimagesize() 能验证图片合法性，从而允许上传。但该函数仅检查文件头是否符合图像格式规范，无法阻止在合法图片末尾追加 PHP 代码（即“图片马”），或利用图像解析器漏洞（如 GD 库、ImageMagick 的 CVE）触发远程执行。

实操注意事项：

getimagesize() 返回非 false ≠ 文件安全，仅表示它“看起来像图”
若业务必须处理用户图片，应重绘图像（如用 imagecreatefromjpeg() + imagejpeg()）丢弃原始数据，但这也不能 100% 拦截所有隐写或解析漏洞
更可靠做法是：上传后保存为随机名 + 固定安全扩展（如 .bin），并存放在 Web 目录外；如需展示，走代理脚本读取并设置正确 Content-Type

为什么把文件移到 `/tmp` 后再处理仍可能出问题

有些方案认为“先用 move_uploaded_file() 移到系统临时目录，再用 finfo / getimagesize 检查，没问题再复制到目标位置”，看似严谨，但忽略了两个关键风险：

临时目录权限若配置不当（如 /tmp 全局可写），攻击者可能提前创建同名符号链接，导致 move_uploaded_file() 写入任意路径（Linux 下需开启 open_basedir 或使用 upload_tmp_dir 隔离）
即使检查通过，若后续用 include、require 或 file_get_contents() 加载该文件，而文件名可控，仍可能触发 LFI 或代码执行（尤其配合 php://filter 等伪协议）

真正安全的落地方式是：

设置独立的、Web 不可访问的上传临时目录（如 /var/www/uploads/tmp），并确保属主为 Web 进程用户，权限为 0700
上传后立即重命名（如 sha256(file_content).bin），彻底剥离原始文件名语义
绝不动态包含用户上传的任何文件，无论扩展名或内容是否“干净”

文件上传的安全不是靠某一个检查点守住的，而是上传路径隔离、文件名净化、存储位置限制、执行环境隔离四层叠加的结果。漏掉任意一层，都可能让绕过成为现实。

PHP探针怎么开启实时刷新_PHP探针开启实时刷新设置【要点】

PHP怎么实现视频评论关联_PHP实现视频评论关联功能【关联】

PHP如何让视频支持全屏播放_PHP支持视频全屏播放设置【全屏】

初学者学php require_once作用_初学者学php其使用场景【说明】

怎样让PHP本地环境支持伪静态_PHP本地环境支伪静态配置【实现】

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

php文件怎么打开

打开php文件步骤：1、选择文本编辑器；2、在选择的文本编辑器中，创建一个新的文件，并将其保存为.php文件；3、在创建的PHP文件中，编写PHP代码；4、要在本地计算机上运行PHP文件，需要设置一个服务器环境；5、安装服务器环境后，需要将PHP文件放入服务器目录中；6、一旦将PHP文件放入服务器目录中，就可以通过浏览器来运行它。

2685

2023.09.01