我有一个名为 gallery.php 的 php 文件,它是用户特定图片库的页面。为了安全起见,用户图像存储在网络根目录之外。
为了为每个用户检索适当的文件,我使用了一个 getimage.php 文件,该文件从他们的位置提供图像。总而言之,目录结构如下所示:
getimage.php 的写法如下:
$imgString = realpath('/UserImages/' . $_SESSION['username'] . '/' . $_GET['img']);
if (!startsWith($imgString, '/UserImages/' . $_SESSION['username'] . '/')
|| !(endsWith(strtolower($imgString), '.jpg') || endsWith(strtolower($imgString), '.jpeg')))
{
header('HTTP/1.0 403 Forbidden');
die();
}
$img = file_get_contents($imgString);
header("Content-type: image/jpeg");
echo($img);
exit();
我依靠 $_GET['img'] 来确定要检索哪个图像,这可能是一个安全漏洞(也是一个主要漏洞)。我可以预见到目录遍历攻击,因此使用了真实路径,尽管我确信可能存在我未包含在该脚本中的其他攻击途径。
出于这个原因,我更愿意将 getimage.php 移动到 webroot 之外,或者至少防止它被直接访问(并且只能通过 gallery.php,其中发送的 img 参数完全在我的控制之下) .
然而,每当我尝试将 getimage.php 移出 public_html 时,即使我在 gallery.php 中要求或包含,我似乎也无法再调用它。我访问 getimage.php 的方式是这样做的:
<img src=getimage.php?img=IMG_FILENAME.jpg />
但是如果我将它移出 public_html 目录,getimage.php 将会失败。
那么,长话短说:我需要做什么来防止 getimage.php 被滥用?
最佳答案
最安全的方法是不使用 $_GET['img'] 传递图片 url,而是发送对图片的引用。
问题
首先,$_GET['img'] 可以是有害代码的任何外部 URL,使用 file_get_contents 可以直接下载它。
其次,任何人都可以使用您的服务器作为免费图像代理,只需在他自己的网站上使用以下 url:
<img src="http://www.yourwebsite.com/getimage.php?img=[external_image_url]">
正确的方法
1) 在您的数据库中创建包含用户图像路径的图像表。当您想要提供图像时,传递图像 ID 而不是 url:
$imageID = $_GET['image'];
.... your sql query here to retrieve the image....
$img = file_get_contents($imgString);
2) 因为您知道 $_GET['image'] 是一个 ID,所以您可以轻松地对其进行清理:
if( !preg_match("/^[0-9]+$/", $_GET['image']) )
{
header('HTTP/1.1 404 Not Found');
exit();
}
3) 在你的 SQL 中不要忘记使用准备好的语句:
$sql = "SELECT image_path from images WHERE id = ?";
4) 只应将图像移动到文档根文件夹之外,如果您也想将 getimage.php 移动到根文件夹之外,您可以使用 Apache Alias 来提供它。在 Apache 虚拟主机配置中,您可以使用:
Alias /getimage.php /path/to/getimage.php
5) 使用 404 not found 而不是 403 forbidden,不要给攻击者你捕获他的 Action 的暗示。
关于PHP - 访问 Web 根目录之外的文件的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27613379/
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
我的目标是转换表单输入,例如“100兆字节”或“1GB”,并将其转换为我可以存储在数据库中的文件大小(以千字节为单位)。目前,我有这个:defquota_convert@regex=/([0-9]+)(.*)s/@sizes=%w{kilobytemegabytegigabyte}m=self.quota.match(@regex)if@sizes.include?m[2]eval("self.quota=#{m[1]}.#{m[2]}")endend这有效,但前提是输入是倍数(“gigabytes”,而不是“gigabyte”)并且由于使用了eval看起来疯狂不安全。所以,功能正常,
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
我有一个包含模块的模型。我想在模块中覆盖模型的访问器方法。例如:classBlah这显然行不通。有什么想法可以实现吗? 最佳答案 您的代码看起来是正确的。我们正在毫无困难地使用这个确切的模式。如果我没记错的话,Rails使用#method_missing作为属性setter,因此您的模块将优先,阻止ActiveRecord的setter。如果您正在使用ActiveSupport::Concern(参见thisblogpost),那么您的实例方法需要进入一个特殊的模块:classBlah
好的,所以我的目标是轻松地将一些数据保存到磁盘以备后用。您如何简单地写入然后读取一个对象?所以如果我有一个简单的类classCattr_accessor:a,:bdefinitialize(a,b)@a,@b=a,bendend所以如果我从中非常快地制作一个objobj=C.new("foo","bar")#justgaveitsomerandomvalues然后我可以把它变成一个kindaidstring=obj.to_s#whichreturns""我终于可以将此字符串打印到文件或其他内容中。我的问题是,我该如何再次将这个id变回一个对象?我知道我可以自己挑选信息并制作一个接受该信