PHP uploaded_files函數使用技巧詳解

對

在早期的PHP版本中，上傳文件很可能是通過如下的代碼實現的：

1. ……  
2. if (isset($_FILES['file'])) {  
3. $tmp_name = $_FILES['file']['tmp_name'];  
4. }  
5. if (file_exists($tmp_name)) {  
6. copy($tmp_name,$destfile);  
7. }  
8. …… 

但是很可能會被偽造一個$_FILES['file']數組出來，如果tmp_name的內容會被指定為/etc/passwd等敏感信息的內容，那麼很容 易出現安全問題。PHP在後來的版本中用is_uploaded_file() 和 move_uploaded_file()解決了這個問題，用PHP uploaded_files函數不僅會檢查$_FILES['file'] ['tmp_name']是否存在，而且會檢查$_FILES['file']['tmp_name']是否是上傳的文件，這樣就使得偽造$_FILES 變量變得不可能，因為腳本會在檢查到$_FILES['file']['tmp_name']不是PHP上傳的時候終止執行。

偽造變得不可能了麼？在很多的腳本裡面我看到初試化部分就有@extract($_POST)之類的操作，以保證程序在register globals為off的環境下能繼續運行，這樣的環境下我們很輕松可以偽造$_FILES數組，甚至將原來的$_FILES數組覆蓋，但是想完全的偽造 一個$_FILES數組還是很困難的，因為你無法饒過is_uploaded_file() 和 move_uploaded_file()。

但是在windows下的PHP環境下測試時，我們發現PHP的臨時文件很有規律，是C:WINDOWS TEMPPHP93.tmp這種格式，上傳的時候文件名字會是C:WINDOWSTEMPPHPXXXXXX.tmp這種格式變化，其中 XXXXXX是十六進制的數字，並且是按照順序增加的，也就是說如果這次上傳的臨時文件名是C:WINDOWSTEMPPHP93.tmp，那麼下 次就會是C:WINDOWSTEMPPHP94.tmp，臨時文件名變得有規律。

但是我們可能不知道當前的文件名是什麼，這可以通過PHP自身的錯 誤機制洩露出來，譬如我們將臨時文件拷貝到一個沒有權限的目錄或者在目標文件裡包含文件系統禁止的字符就可以將當前的臨時文件名字給洩露出來，當然前提是 沒有錯誤抑制處理。

那麼到底如何饒過is_uploaded_file() 和 move_uploaded_file()呢？看看PHP uploaded_files函數部分的代碼：

PHP_FUNCTION(is_uploaded_file)  
{  
zval **path;  
if (!SG(rfc1867_uploaded_files)) {  
RETURN_FALSE;  
}  
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &path) != SUCCESS) {  
ZEND_WRONG_PARAM_COUNT();  
}  
convert_to_string_ex(path);  
if (zend_hash_exists(SG(rfc1867_uploaded_files), Z_STRVAL_PP(path), Z_STRLEN_PP(path)+1)) {  
RETURN_TRUE;  
} else {  
RETURN_FALSE;  
}  
} 

它 是從當前的rfc1867_uploaded_files哈希表中查找看是否當前的文件名是否存在。其中rfc1867_uploaded_files保 存了當前PHP腳本運行過程中由系統和PHP產生的有關文件上傳的變量和內容。如果存在，就說明指定的文件名的確是本次上傳的，否則為否。

PHP 有個很奇怪的特性就是，當你提交一個上傳表單時，PHP在做處理之前這個文件就已經被上傳到臨時目錄下面，一直到PHP腳本運行結束的時候才會銷毀掉。也 就是說，你即使向一個不接受$_FILSE變量的PHP腳本提交這樣一個表單，$_FILSE變量依然會產生，文件依然會被先上傳到臨時目錄。問題就產生 了。下面的腳本可能能說明這個問題：

< ?  
$a=$_FILES['attach']['tmp_name'];  
echo $a.”………….”;  
$file=’C:\WINDOWS\TEMP\PHP95.tmp’;  
echo $file;  
if(is_uploaded_file($file)) echo ‘………………Yes’;  
?> 

其 中C:\WINDOWS\TEMP\PHP95.tmp是我猜測的臨時文件名字，當時，測試這個腳本的時候我們需要向它上傳一個文件或者是100個 文件，使得其中一個臨時文件名為C:\WINDOWS\TEMP\PHP95.tmp。如果此刻腳本有extract操作，我們就可以很方便的偽造 出一個$_FILES變量了。

不是麼？可能要問偽造$_FILES變量有什麼作用，我們就可以產生原來程序不允許的文件名了，PHP在處理上傳的時候會對 原來的文件名有一個類似於basename()的操作，但是一旦可以偽造之後我們就可以輕易的在文件名之內加啊../啊等等你所喜歡的任何東西

PHP uploaded_files函數的實際利用可能有點苛刻，但是也總算是PHP一點瑕疵吧，呵呵。