如何保护PHP图片上传脚本免受攻击？

处理上传文件时需注意，$_FILES数组中的所有数据都可能被伪造。它们通过HTTP传输，因此很容易将可执行文件伪装成image/jpg格式的文件。

1- 检查真实的文件类型

PHP提供了一些函数来检查文件的真实类型，你可以使用fileinfo函数。

$finfo = new finfo(FILEINFO_MIME, "/usr/share/misc/magic");
$filename = "/var/tmp/afile.jpg";
echo $finfo->file($filename);

2- 检查图片属性

你显然只想上传图像，所以接收到的文件必须有宽度和高度：

使用getImageSize()获取有关图像的所有必要信息。如果返回false，则该文件可能不是图像，您可以将其删除。 getImageSize还可以为您提供MIME类型，但我不知道是否可以信任。

2.5- 重新处理图像

如用户628405建议的那样，使用GD重新处理图像可能是更安全的做法。

$img = imagecreatefrompng('vulnerable.png'); 
imagepng($img, 'safe.png');

显然，它必须根据图像类型进行适应。请参阅php文档中的所有imagecreatefrom*。

3- 上传文件夹 除了您已经完成的内容之外：

确保您的上传文件夹不可从Web访问。验证上传的文件，如果需要，将其移动到另一个文件夹并重命名文件。 这将防止黑客执行恶意文件（如果无法通过url访问，则无法执行）。

进一步阅读：https://www.owasp.org/index.php/Unrestricted_File_Upload

不要依赖客户端的任何数据，包括内容类型！

不要将上传的文件保存在 Web 根目录中。上传的文件应该只能通过您的脚本访问，以便更好地控制。

不要使用原始文件名和扩展名保存上传的文件！将这些数据存储在数据库中以供以后检索。

您可以检查文件的MIME类型，但只要您的php处理程序只能执行.php文件，并且您注意不要在脚本中保存上传的.php文件，就不会暴露任何安全漏洞。

当然，这适用于.php文件以及安装在服务器上的任何其他服务器端脚本语言。

更好的做法是保留您正在接受的扩展名列表以保存在您的文件系统中。

我会忽略传入文件的MIME类型和文件扩展名。这些都可以被伪造。

如果您要采用这种方法，请将这些文件存储在一个目录中。

确保该目录仅用于存储图像（音乐）文件，然后编写脚本通过查看文件格式来为它们添加正确的扩展名。

还要确保该目录无法执行PHP（或其他任何东西）。

这样可以保证您的安全。