PHP 文件上传脚本检查指南:确保安全可靠的文件上传
我们可以利用 PHP 提供的低代码 API,高效地实现对文件上传脚本的快速检查。
参与者可能会利用文件上传的漏洞,例如上传包含恶意代码的 HTML 或 SVG 文件,意图在接收者的浏览器中执行脚本,从而发起跨站点脚本 (XSS) 攻击。为了防范此类攻击,我们可以在 PHP 文件上传过程中集成一个高效的 API,以快速检测文件是否含有脚本代码,并阻止其上传。
要实施这一防御策略,我们可以在 API 请求体中引入一个特定的参数——$allow_scripts。当该参数设置为 false 时,任何包含脚本标签的文件都将收到一个带有“CleanResult”: false 的响应,这与文件包含病毒或恶意软件签名时 API 返回的响应是一致的。这一 API 不仅校验文件内容,还进行病毒和恶意软件的扫描,为我们的文件上传安全体系提供了宝贵的补充。
要调用这个 API,我们可以遵循两个简单的步骤来快速实现。
首先,通过 Composer,我们可以在命令行中轻松安装 PHP 客户端。安装完毕后,我们可以利用这个客户端来发起 API 请求,检查上传的文件是否含有恶意脚本或潜在威胁。通过这种方式,我们可以确保文件的安全性,降低被攻击的风险。
composer require cloudmersive/cloudmersive_virusscan_api_client
接下来,我们将通过以下代码段调用该函数,并将$allow_scripts参数的值设置为false:
<?php
require_once(__DIR__ . '/vendor/autoload.php');
// 配置API密钥授权:Apikey
$config = Swagger\Client\Configuration::getDefaultConfiguration()->setApiKey('Apikey', 'YOUR_API_KEY');
$apiInstance = new Swagger\Client\Api\ScanApi(
new GuzzleHttp\Client(),
$config
);
$input_file = "/path/to/inputfile" ; // \SplFileObject |要执行操作的输入文件。
$allow_executables = true ; // 布尔 |设置为 false 可阻止可执行文件(程序代码)出现在输入文件中。默认为 false(推荐)。
$allow_invalid_files = true ; // 布尔 |设置为 false 可阻止无效文件,例如实际上不是有效 PDF 文件的 PDF 文件,或不是有效 Word 文档的 Word 文档。默认为 false(推荐)。
$allow_scripts = true ; // 布尔 |设置为 false 可阻止脚本文件,例如 PHP 文件、Python 脚本以及可嵌入文件中的其他恶意内容或安全威胁。设置为 true 以允许这些文件类型。默认为 false(推荐)。
$allow_password_protected_files = true ; // 布尔 |设置为 false 可阻止受密码保护和加密的文件,例如加密的 zip 和 rar 文件以及其他试图绕过密码扫描的文件。设置为 true 以允许这些文件类型。默认为 false(推荐)。
$allow_macros = true ; // 布尔 |设置为 false 可阻止文档文件中嵌入的宏和其他威胁,例如 Word、Excel 和 PowerPoint 嵌入宏以及包含嵌入内容威胁的其他文件。设置为 true 以允许这些文件类型。默认为 false(推荐)。
$allow_xml_external_entities = true ; // 布尔 |设置为 false 可阻止 XML 外部实体和 XML 文件中嵌入的其他威胁,以及包含嵌入内容威胁的其他文件。设置为 true 以允许这些文件类型。默认为 false(推荐)。
$allow_insecure_deserialization = true ;// 布尔 |设置为 false 可阻止 JSON 和其他对象序列化文件以及包含嵌入内容威胁的其他文件中嵌入的不安全反序列化和其他威胁。设置为 true 以允许这些文件类型。默认为 false(推荐)。
$allow_html = true ; // 布尔 |设置为 false 以阻止顶级文件中的 HTML 输入; HTML 可能包含 XSS、脚本、本地文件访问和其他威胁。设置为 true 以允许这些文件类型。默认值为 false(推荐)[对于在此功能发布之前创建的 API 密钥,为了向后兼容,默认值为 true]。
$restrict_file_types = "restrict_file_types_example" ; // 字符串 |指定一组受限制的文件格式,以允许像逗号分隔的文件格式列表一样干净,例如 .pdf、.docx、.png 只允许 PDF、PNG 和 Word 文档文件。所有文件都必须通过此文件格式列表的内容验证,如果没有通过,则结果将以 CleanResult=false 的形式返回。将restrictFileTypes参数设置为null或空字符串以禁用;默认是禁用的。
try {
$result = $apiInstance->scanFileAdvanced($input_file, $allow_executables, $allow_invalid_files, $allow_scripts, $allow_password_protected_files, $allow_macros, $allow_xml_external_entities, $allow_insecure_deserialization, $allow_html, $restrict_file_types);
print_r($result);
} catch (Exception $e) {
echo 'Exception when calling ScanApi->scanFileAdvanced: ', $e->getMessage(), PHP_EOL;
}
?>
只需获取一个免费的 Cloudmersive API 密钥,即可轻松授权我们的 API 调用。更令人振奋的是,每月我们享有零承诺的特权,可以进行高达 800 次的 API 调用。这一切,仅需几行 PHP 代码,就能实现脚本的阻断、文件的病毒扫描,以及识别各种其他内容类型。简单而高效,这就是我们的目标。
发表评论