[php] 파일업로드 확장자 체크하기

파아랑

· 11년 전 · 조회 4467 4467 · 댓글 2 2

자주필요한것 같아서 올려봅니다.

[출처] http://habony.tistory.com/219#.U3oAGtJ_trA

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다.

예제 (ex #1

<?php
$filename = "test.php.";
$ext = array_pop(explode(".", strtolower($filename)));

if(@ereg($ext, "php|php3|php4|htm|inc|html")){
echo "죄송합니다. php, html 파일은 업로드가 제한됩니다.";
}
?>

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다.

예제 (ex #2

<?php
$filename = "test.gif.bmp.php.";
$ext = explode(".", strtolower($filename));

$cnt = count($ext)-1;
if($ext[$cnt] === ""){
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다.";
    }
} else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다.";
}
?>

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 2개

한랭건조

프로필 보기 이 회원 글보기 이 회원의 댓글보기

11년 전

파일 업로드시 확장자만 체크 하는것 말고
좀더 보안을 강화 할 수 있는 방법 없을 까요??
확장자 체크는 그냥 확장자만 바꾸면 되는 일인지라.

바트형아

프로필 보기 이 회원 글보기 이 회원의 댓글보기

11년 전

그렇다면 mime type을 체크하면 될거 같습니다.

게시글 목록

번호	제목	글쓴이	조회	날짜
20841	도로명주소 juso.sir.co.kr 도로명 주소 검색 시스템 구축 가이드 - 주소검색	편리	3,592	11년 전
20840	도로명주소 juso.sir.co.kr 도로명 주소 검색 시스템 구축 가이드 - 인덱싱	편리	3,711	11년 전
20839	도로명주소 juso.sir.co.kr 도로명 주소 검색 시스템 구축 가이드 - Sphinx 설정	편리	3,775	11년 전
20838	도로명주소 juso.sir.co.kr 도로명 주소 검색 시스템 구축 가이드 - 데이터 입력	편리	3,900	11년 전
20835	도로명주소 juso.sir.co.kr 도로명 주소 검색 시스템 구축 가이드 - Sphinx 검색엔진 설치 2	편리	2,355	11년 전
20834	도로명주소 juso.sir.co.kr 도로명 주소 검색 시스템 구축 가이드 - 프롤로그	편리	17,431	11년 전
7057	캡챠 kcaptcha 에 대해서.. 2	AngryDev	1,333	11년 전
19668	JavaScript 자바스크립트(4)	돌아온깡통	1,080	11년 전
19667	PHP 자바스크립트(3)	돌아온깡통	1,018	11년 전
19666	JavaScript 자바스크립트(2)	돌아온깡통	858	11년 전
19665	JavaScript 자바스크립트(1)	돌아온깡통	982	11년 전
19663	PHP 정규 표현식 1	돌아온깡통	805	11년 전
19662	PHP 기타 함수	돌아온깡통	649	11년 전
19661	PHP 수학 연산 함수	돌아온깡통	1,035	11년 전
19660	PHP 파일 처리 함수(3)	돌아온깡통	776	11년 전
19659	PHP 파일 처리 함수(2)	돌아온깡통	693	11년 전
19658	PHP 날짜 및 시간 함수	돌아온깡통	1,033	11년 전
19657	PHP 파일 처리 함수(1)	돌아온깡통	902	11년 전
19656	PHP 문자열 함수(5)	돌아온깡통	692	11년 전
19655	PHP 문자열 함수(4)	돌아온깡통	844	11년 전
19654	PHP 문자열 함수(3)	돌아온깡통	865	11년 전
19653	PHP 문자열 함수(2)	돌아온깡통	877	11년 전
19652	PHP 문자열 함수(1)	돌아온깡통	975	11년 전
19651	PHP 사용자 정의 함수(3)	돌아온깡통	611	11년 전
19650	PHP 사용자 정의 함수(2)	돌아온깡통	663	11년 전
19649	PHP 사용자 정의 함수(1)	돌아온깡통	848	11년 전
19648	PHP 그 밖의 제어문	돌아온깡통	705	11년 전
19647	PHP 반복 제어문(2)	돌아온깡통	735	11년 전
19646	PHP 반복 제어문(1)	돌아온깡통	696	11년 전
19645	PHP 조건 제어문(2)	돌아온깡통	626	11년 전
19644	PHP 조건 제어문(1)	돌아온깡통	689	11년 전
19643	PHP 비교 연산자, 논리 연산자	돌아온깡통	1,304	11년 전
19642	PHP 산술 연산자, 대입 연산자	돌아온깡통	636	11년 전
19641	PHP 폼(Form)을 통한 변수의 전달	돌아온깡통	948	11년 전
19640	PHP 가변 변수	돌아온깡통	835	11년 전
19639	PHP 정적 변수	돌아온깡통	585	11년 전
19638	PHP 전역 변수	돌아온깡통	611	11년 전
19637	PHP 배열 변수	돌아온깡통	686	11년 전
19636	PHP 변수 사용법	돌아온깡통	700	11년 전
7051	그누보드를 개발하시는분들은 어느 언어를 사용하시나요? 5	joe031	1,233	11년 전
26561	SEO 검색엔진 상위리스트 올리기 11	수박한통	4,117	11년 전
19635	PHP PHP를 이용한 하루 한번 내사이트를 시작페이지로	수박한통	1,189	11년 전
19634	MySQL mysqlDB export 복원	잘살아보자	919	11년 전
27958	g5게시판 html소스가 전혀먹히지않고 에디터도 자동수정이되는데 어떻게하지요? 2	수류화개	1,397	11년 전
30952	CSS 모바일웹 폰트사이즈? px? em?	kiplayer	7,518	11년 전
27955	NHN 의 널리에서 온라인 장애 체험관을 만들었네요. 2	엔피씨	1,107	11년 전
19633	웹서버 프로그램을 백그라운드로 실행하는 법	잘살아보자	2,318	11년 전
19632	웹서버 리눅스 \| 리눅스 파일 분할 법과 분할 압축/해제	잘살아보자	1,131	11년 전
19631	웹서버 리눅스에서 쉘상에 사용한 명령어 히스토리 확인하기	잘살아보자	1,181	11년 전
7048	서버dns회선속도랑,서버 회선속도를 측정하고 싶은대 이게 맞나요? 2	배짱킴	1,465	11년 전
7033	이곳에 문의글 올려서 죄송해요..ㅠㅠ 상황이 다급해서요 14	하얀비요일	970	11년 전
19630	웹서버 crontab 사용 설명입니다.	잘살아보자	966	11년 전
7021	서버에 관련해서 여쭈어 볼려고합니다. 11	배짱킴	973	11년 전
7018	이거 뭐가 잘못된거죠???? 모바일이요 2	유보	981	11년 전
27953	워드프레스 신입 개발자입니다 1	김워프	1,646	11년 전
7015	날이 갈수록 꼼수만 찾게 됩니다. 2	Terrorboy	1,022	11년 전
27951	UI 만들어 보자!!!!!! 1	kiplayer	1,159	11년 전
7011	정녕 작업해주실분이 안계시단 말씀이신가요. ㅠ 3	바로누리	948	11년 전
19628	기타 C언어를 이용한 웹 파싱 1 1	잘살아보자	4,626	11년 전
19627	웹서버 crontab을 이용한 지정된 시간에 ftp 실행하기	잘살아보자	681	11년 전
7010	영카트4 에서 영카트 5로 이전	유보	1,058	11년 전
27947	모바일에서 롤오버 기능을 사용하고싶을때 어떻게 하시나요? 3	초심의설렘	1,457	11년 전
7009	모바일 워터마크 출력	삐로로	987	11년 전
19626	웹서버 내 컴퓨터에 연결된 아이피 확인 하기	잘살아보자	5,270	11년 전
19625	기타 사내 아이피 충돌 알아내기	잘살아보자	3,392	11년 전
24635	YOUNG SAMSUNG에 올라와있던 쉽고 빠르고 세련된 PPT 작성법. 9	엔피씨	4,938	11년 전
7005	프로토타입에 관해 도움부탁드립니다.. 3	스아이	811	11년 전
27943	ie7을 벗어나니 사용하게 되는 스타일속성,값 3	임소야	1,170	11년 전
7000	실행파일 만들기??? 4	울라라라우	1,354	11년 전
19624	PHP 작성시간 대신 몇 분, 몇 시간, 몇 일 전인지 알려주게 하는 방법	우회	1,238	11년 전
6995	cafe24와 고도몰 외에 써보신 쇼핑몰 솔루션이 있으신가요~? 4	skyler	1,173	11년 전
6992	그누보드에 hijack모듈을 올렸는데 이게 잘하는 것일까 의문이.. 2	Terrorboy	662	11년 전
30949	HTML html5 멋진 사이트 1곳 2	돼지코구뇽	3,325	11년 전
30948	CSS overflow 속성	잘살아보자	2,865	11년 전
19623	기타 리눅스 문자열 찾기/바꾸기	잘살아보자	2,209	11년 전
19620	기타 vi 에디터 창나누기 기술~ 2	잘살아보자	1,436	11년 전
19619	웹서버 nslookup으로 dns 상태 알아보기	잘살아보자	1,442	11년 전
6990	ckeditor 와 ckfinder 라이센스가 유료인가요? 1	수야디벨	2,861	11년 전
6986	php으로 tv에 정보 출력 가능한가요?? 3	울라라라우	812	11년 전
27940	ftp서버에 그누보드 설치시 2	배짱킴	1,037	11년 전
30947	CSS border 속성에도 기본값이라는게 있습니다.	잘살아보자	2,370	11년 전
30945	CSS position:fixed 에 대한 것입니다. 1	잘살아보자	3,277	11년 전
19618	PHP 접속 기종이 무엇인지 알려주는 함수	잘살아보자	1,171	11년 전
19617	기타 vpn과 프락시에 대한 정보	잘살아보자	740	11년 전
19616	웹서버 wget에 대한 팁	잘살아보자	1,376	11년 전
19615	웹서버 현재 개발되어 있는 포트번호를 확인하는 명령	잘살아보자	680	11년 전
19614	웹서버 IP 주소를 사용하고 있는 사용자의 컴퓨터 이름과 그룹 정보를 제공하여 추적이 가능한 환경을 제공한다	잘살아보자	1,262	11년 전
19613	기타 1원짜리 팁 아이피 확인하기	잘살아보자	730	11년 전
19612	웹서버 ping 서버와 연결 상태 확인	잘살아보자	1,435	11년 전
19610	웹서버 tracert 네트워크 경로 확인 1	잘살아보자	1,182	11년 전
30943	HTML DNS 미리 뚫고 페이지 속도 빠르게 하기 1	잘살아보자	1,982	11년 전
30942	CSS CSS : box-shadow, 박스 쉐도우(그림자) [펌]	잘살아보자	3,648	11년 전
19609	JavaScript GET,POST값 등을 JAVASCRIPT에서 사용할 경우[펌]	잘살아보자	3,144	11년 전
19608	기타 깔끔한 jquery+css 탭 메뉴입니다.	잘살아보자	3,613	11년 전
19607	MySQL 특정 폴더에서 PHP 실행 금지하기[펌]	잘살아보자	1,367	11년 전
24631	기획자 분들 안녕하세요!! 3	gooroo	1,596	11년 전
27935	a태그에 pdf또는 jpg로 경로를 걸면 브라우저에서 열리네요 ㅠ 4	열라뽕똬이	2,301	11년 전
27933	jquery 사용안된 사이트 jquery 로 적용하기? 1	카카오툴즈	1,005	11년 전
24628	기획자는 최선보다 올바른 선택을 해야 한다 [출처] 기획자는 최선보다 올바른 선택을 해야 한다. (WWW를 만드는 사람들) \|작성자 당근대장 2	수박한통	1,415	11년 전
19604	기타 [펌] 보안 XSS 취약점 원천봉쇄 2	수박한통	3,554	11년 전

이전 다음

9 10 11 12 13

전체 목록