PHP逆引き大全 516の極意

セキュアプログラミングの極意 - Tips470 ファイルアップロード処理の危険性と対策を理解する

登録タグ
PHP
Icon comment count 0
Icon stock count 0

7-8その他のセキュリティTips470 ファイルアップロード処理の危険性と対策を理解する

Level2

Point公開ディレクトリのファイルアップロードに潜む脆弱性に注意する

ファイルアップロード処理を実装する時は、Web上に公開されているディレクトリにアップロードファイルを置かないよう注意します。

例えば、下記のようなアップロードフォームがあったとします。

<form action="" method="post" enctype="multipart/form-data">
<input type="file" name="photo" />
<input type="submit" value="送信" />
</form>

また、このアップロードフォームのリクエストを処理するPHPファイルスクリプトが以下であったとします。

if (is_uploaded_file($_FILES["photo"]["tmp_name"])) {
  if (move_uploaded_file($_FILES["photo"]["tmp_name"], "files/" . $_FILES["photo"]["name"])) {
    echo $_FILES["photo"]["name"] . "をアップロードしました。";
  }
}

出典情報

Medium

PHP逆引き大全 516の極意

  • 著者: 大家 正登, 茂木 健一, 鮫島 康浩, 谷中 志織

コメント

    コメントはありません