Web开发-PHP应用&文件操作安全&上传下载&任意读取删除&目录遍历&文件包含

知识点:

1、安全开发-原生PHP-文件安全操作

2、安全开发-原生PHP-上传读取删除包含等

3、安全开发-原生PHP-代码审计文件安全

一、演示案例-WEB开发-文件安全-上传下载读取

文件上传

bash 复制代码
$_FILES:PHP中一个预定义的超全局变量,用于在上传文件时从客户端接收文件,并将其保存到服务器上。它是一个包含上传文件信息的数组,包括文件名、类型、大小、临时文件名等信息。
$_FILES["表单值"]["name"] 获取上传文件原始名称
$_FILES["表单值"]["type"] 获取上传文件MIME类型
$_FILES["表单值"]["size"] 获取上传文件字节单位大小
$_FILES["表单值"]["tmp_name"] 获取上传的临时副本文件名
$_FILES["表单值"]["error"] 获取上传时发生的错误代码
move_uploaded_file() 将上传的文件移动到指定位置的函数

文件下载

bash 复制代码
修改HTTP头实现文件读取解析下载:
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename=\"" . $file . "\"");
header("Content-Length: " . filesize($file));
readfile($file);



文件读取

1、file_get_contents() 读取文件内容



2、fopen()、fread() 文件打开读入



二、演示案例-WEB开发-文件安全-删除遍历包含

文件删除

bash 复制代码
unlink() 文件删除函数
调用命令删除:system shell_exec exec等

文件显示(目录遍历)

bash 复制代码
1.打开目录读取文件列表
2.递归循环读取文件列表
3.判断是文件还是文件夹
4.PHP.INI目录访问控制

is_dir() 函数用于检查指定的路径是否是一个目录

opendir() 函数用于打开指定的目录,返回句柄,用来读取目录的文件和子目录

readdir() 函数用于从打开的目录句柄中读取目录中的文件和子目录


open_basedir:PHP.INI中的设置用来控制脚本程序访问目录

scandir() 函数返回指定目录中的文件和目录列表,以数组形式返回

ini_set('open_basedir',DIR); 设置配置文件中,只能访问本目录

文件包含

include


require


include_once


require_once

三、演示案例-WEB开发-文件安全-代码审计案例

1、Rrzcms-遍历读取

https://xz.aliyun.com/t/10932


黑盒角度







白盒角度





2、Metinfo-文件下载

https://mp.weixin.qq.com/s/te4RG0yl_truE5oZzna3Eg




3、Xhcms-文件包含

https://xz.aliyun.com/t/11310


相关推荐
魔道不误砍柴功4 小时前
Mac 能够连Wife,但是不能上网问题解决
网络·macos·php
搬码临时工12 小时前
怎样让外网计算机访问局域网计算机?通过公网地址访问不同内网服务的设置方法
开发语言·php
Fortinet_CHINA1 天前
案例精述 | 防护即智能 Fortinet赋能英科全栈安全重构实践
安全·重构·php
BingoGo1 天前
PHP Swoole/WebMan/Laravel Octane 等长驻进程框架内存泄露诊断与解决方案
后端·php
站长朋友2 天前
香港主机支持PHP版本吗
开发语言·php·香港主机php版本·php 8.4支持·wordpress主机配置·香港主机性能对比·php版本兼容性测试
腾科张老师2 天前
Telnet 原理与配置
网络·智能路由器·php
lskblog2 天前
使用 PHP Imagick 扩展实现高质量 PDF 转图片功能
android·开发语言·前端·pdf·word·php·laravel
行走的码农霖悦2 天前
PHP如何解决使用国密SM4解密Base64数据错误问题?(基于lpilp/guomi)
开发语言·php
菜鸟康3 天前
手写Muduo网络库核心代码2--Poller、EPollPoller详细讲解
开发语言·网络·php
2202_756749693 天前
YOLO 目标检测:YOLOv5网络结构、Focus、CSP、自适应Anchor、激活函数SiLU、SPPF、C3
人工智能·yolo·目标检测·php