[php] 파일업로드 확장자 체크하기

파아랑

· 11년 전 · 조회 4466 4466 · 댓글 2 2

자주필요한것 같아서 올려봅니다.

[출처] http://habony.tistory.com/219#.U3oAGtJ_trA

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다.

예제 (ex #1

<?php
$filename = "test.php.";
$ext = array_pop(explode(".", strtolower($filename)));

if(@ereg($ext, "php|php3|php4|htm|inc|html")){
echo "죄송합니다. php, html 파일은 업로드가 제한됩니다.";
}
?>

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다.

예제 (ex #2

<?php
$filename = "test.gif.bmp.php.";
$ext = explode(".", strtolower($filename));

$cnt = count($ext)-1;
if($ext[$cnt] === ""){
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다.";
    }
} else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다.";
}
?>

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 2개

한랭건조

프로필 보기 이 회원 글보기

11년 전

파일 업로드시 확장자만 체크 하는것 말고
좀더 보안을 강화 할 수 있는 방법 없을 까요??
확장자 체크는 그냥 확장자만 바꾸면 되는 일인지라.

바트형아

프로필 보기 이 회원 글보기

11년 전

그렇다면 mime type을 체크하면 될거 같습니다.

게시글 목록

번호	제목	글쓴이	조회	날짜
27925	연봉 2000에 디자인 및 퍼블리싱 가능하신가요??? 7	가마우리	2,290	11년 전
27922	질문이 있는데 여기다 남겨도 될런지.. 2	소다	689	11년 전
6972	알고리즘 및 조언을 얻고자 합니다. 13	senseme	1,254	11년 전
19602	JavaScript jQuery 의 delegate 흉내내기 1	수박한통	1,142	11년 전
19601	JavaScript script 디버깅 - JSHint	수박한통	793	11년 전
19599	jQuery jQuery 롤링배너 플러그인 1	수박한통	2,932	11년 전
6961	자바 프로그래머 기초 프로그램 시험문제 php 도 구현가능합니다. 한번 풀어보세요 10	천국나무	1,407	11년 전
30941	기타 목적에 따른 웹페이지 이동 설명	잘살아보자	1,268	11년 전
19597	기타 avascript 에서의 && 와 \|\| 1	잘살아보자	662	11년 전
19596	MySQL mysql 문자열을 구분자로 구분해서 처리시 관련 함수	잘살아보자	2,988	11년 전
19595	jQuery jQuery plugin - jq.rolling.js	잘살아보자	2,883	11년 전
19594	JavaScript 스크립트 for문	잘살아보자	710	11년 전
30939	HTML 디바이스별 해상도 확인 1	잘살아보자	3,412	11년 전
19593	웹서버 cron 에서 서비스 컨트롤에 따른 소소한 팁	잘살아보자	830	11년 전
6959	실제로 파일이 존재하고 ftp로 다운을 받아보면 정상파일인데 1	씨푸코	720	11년 전
6957	.htaccess가 잘 안되네요.. 1	씨푸코	1,004	11년 전
6953	전문가님들의 고견을 듣고 싶습니다. 3	코코기	817	11년 전
27920	질문있습니다... 개발 기간 관련해서... 1	코코기	630	11년 전
19592	PHP php oop 단일 모드	천국나무	1,056	11년 전
19591	PHP 그누보드5 모바일에 레이어로 Daum 우편번호 찾기 API 연동 하기.	위토즈	1,775	11년 전
19590	PHP IP class 비교 함수	수박한통	1,011	11년 전
6949	블로그등에 있는 글들을 자동으로 긁어올경우 3	버섯먹은나	772	11년 전
6947	테이블 태그 관련 정정문의 1	빅맨	610	11년 전
20826	이미지관련 문자열이미지에 각종 필터를 적용한 결과 7	유창화	2,384	11년 전
20823	이미지관련 이미지에 각종 필터를 적용한 결과 2	유창화	1,934	11년 전
19589	jQuery 심플한 파일첨부 버튼과 jquery	수박한통	2,472	11년 전
27913	영카트5 + 부트스트랩3 시간좀 걸릴듯 합니다. 6	플록	1,400	11년 전
27912	카카오톡 open API 개발자 커뮤니티 생겻네요 ㅋ	돼지코구뇽	2,674	11년 전
19588	JavaScript 자바스크립트 시작날짜 종료날짜 유효성 검사 함수	위토즈	3,096	11년 전
20822	이미지관련 프레임이미지와 얼굴이미지 합치기	유창화	4,426	11년 전
19587	기타 mssql에서 쿼리 로그 보기	수박한통	5,776	11년 전
19586	PHP 한국 IP대역 체크	수박한통	2,117	11년 전
27887	css 코딩, 어떻게 하고들 계신가요. 24	임소야	1,692	11년 전
20819	이미지관련 이미지에 문자열을 그릴때 개행된 라인들까지도 정렬하기 2	유창화	1,429	11년 전
27883	익스에서 나눔고딕 질문 3	모으카	1,097	11년 전
19585	웹서버 특정 폴더에서 PHP 실행 금지하기[펌]	잘살아보자	838	11년 전
19584	MySQL 1원짜리 팁이에요. auto_increment에 대한 것이에요	잘살아보자	1,019	11년 전
19583	JavaScript 중첩없이 랜덤수 뽑아내기	잘살아보자	906	11년 전
19582	웹서버 리눅스 쉘스크립트 배열을 이용해 webliazer 에서 다중 로그 분석	잘살아보자	1,389	11년 전
19581	웹서버 htaccess를 이용한 짧은 주소 만들기	잘살아보자	2,186	11년 전
19580	웹서버 네임서버 zone 파일 인쿠르드	잘살아보자	862	11년 전
6945	메인 로고 옆에 구글 플러스 버튼을 로고 하단이 아닌, 로고 바로 옆에 붙히는 방법 1	회원12	1,040	11년 전
24622	지난주 (7.20 ~ 7.26) SIR 브라우저별 접속 순위 5	관리자	1,696	11년 전
19578	JavaScript 자바스크립트에서 for문 사용시 속도차이 1	수박한통	1,391	11년 전
6938	개발자와 잡부 차이 6	초인	1,271	11년 전
6935	php 웹디버깅 프로그램 없나요? 2	Terrorboy	1,203	11년 전
27880	IE8 인풋텍스트 에러 대응법이 있을까요? ㅜㅜㅜㅜ 2	김우너석	1,127	11년 전
20818	이미지관련 쉬어가는 페이지 (기울기에 따른 위치 구해보기)	유창화	3,477	11년 전
19575	PHP [펌] PHP 문자열 더할 때 속도 비교 2	수박한통	1,123	11년 전
20815	이미지관련 이미지 너비에 맞게 문자열의 자동 개행 2	유창화	1,722	11년 전
20812	썸네일 배경이 투명한 이미지의 썸네일 추가 2	유창화	1,993	11년 전
20809	이미지관련 문자열 그릴때 패딩 주기 2	유창화	1,299	11년 전
6932	php 업그레이드 하면 openssl 부터 전부다 업그레이드 시켜줘야 하나요? 2	회원12	1,279	11년 전
6931	APM 서버에 .asp 주소 리다이렉트시키기?	더데이	1,272	11년 전
6929	인터넷 버전 자동 호환 프로그램 문의 드려요 1	베이브루	736	11년 전
19571	Mobile html5 지원되는 os별 버전보기 3	위토즈	1,138	11년 전
19570	기타 Polyfill 폴리필 용어해설 및 관련사이트 링크	네이비칼라	1,484	11년 전
20802	이미지관련 위치에 따른 이미지에 문자열 그리기 6	유창화	1,450	11년 전
27877	고수님들 부탁드려요.. 2	ascii	819	11년 전
20797	이미지관련 기울기에 따른 imageftbbox 결과값에 대한 비교 4	유창화	1,162	11년 전
6923	제작의뢰가 열리지않아요. 5	비밀이	921	11년 전
20795	이미지관련 문자열의 너비와 높이 구하기 1	유창화	1,678	11년 전
6918	admin 모바일버전만들기 4	노신사	1,320	11년 전
6914	궁금합니다 3	TPSint	697	11년 전
20789	이미지관련 이미지에 글자 쓰기 5	유창화	2,135	11년 전
6899	개발자들은 어떤 웹 코딩 프로그램을 사용하나요? 14	회원12	6,610	11년 전
27860	ie7 고려하시나요? 16	이고밤	1,273	11년 전
6898	aptana 압타나 파일의 위치를 어떻게 /var/www/html 어떻게 바꾸나요?	회원12	1,116	11년 전
27856	고수님들 CSS 의 호환성에 관해서 급 도움부탁드립니다. 3	쥬노	1,049	11년 전
6895	고수님들 도와주세요...CSS를 적용한 메뉴인데 ...........틀이 깨지네요... 2	쥬노	896	11년 전
6891	aptana (압타나) 질문좀 드립니다!! 3	회원12	1,428	11년 전
6890	혹 견적서 교환하실 분 계실까요	건터	830	11년 전
6881	폰갭을 이용할때 그누보드를 이용할 수 있을까요? 8	EngineMan	3,385	11년 전
6874	여기에 써도 되는지 모르겠는데 그누보드 5 회원가입에 파일첨부 기능 넣어주실 수 있는 분 계실까요? 6	자목련	1,228	11년 전
27852	홈페이지 퍼블까지만 단가가 보통어떻케되죠..? 3	비밀이	1,627	11년 전
6860	보통 개발 향상에 도움이 됐던 결정적인 계기가 어떤 게 있을까요? 13	이시태	992	11년 전
6857	대한통운 택배연동 질문? 2	싸이더	2,629	11년 전
19569	PHP 외부에서 아이프레임으로 불러오는 게시판 글 읽기 모드로 열기	네이비칼라	1,270	11년 전
19565	OS centos 7 버전 다운로드 / 강좌주소 3	카이루	2,557	11년 전
19564	PHP $_POST 또는 $_GET 을 일반변수로 바꾸기	슈와이	1,919	11년 전
27844	가상 선택자 :after 의미를 모르겟어여.. 7	북금곰	2,432	11년 전
19563	PHP 많은 파라미터값을 전달받아야 할경우 체크 방법.	위토즈	1,373	11년 전
24617	구글애널리틱스 : SIR 접속자 인구통계 : 개요 4	관리자	2,511	11년 전
19554	기타 개발자를 위한 유용한 사이트 공유 8	신리	1,326	11년 전
6854	이런게시판찾아요~ 2	북금곰	1,011	11년 전
19553	PHP 그누보드 환경설정시 에러나는 부분 해결	파아랑	1,034	11년 전
19531	기타 홈페이지를 어플로 만들어 봅시다.. 21	카이루	5,416	11년 전
6850	구글에 검색되는 홈페이지 내용을 삭제하고싶습니다 3	북금곰	1,205	11년 전
6848	고수님에게 부탁드립니다. 1	DMAN	763	11년 전
27842	topmenu가 윈도우 IE에서 제대로 나오질안네요 ㅠㅠ 1	열라뽕똬이	738	11년 전
6846	메일백업후 보는 뷰어프로그램 1	파아랑	1,092	11년 전
6842	bootstrap-3.2.0-dist 를 깔고 싶은데요.. 3	회원12	1,437	11년 전
6839	아파트 DB 관련 작업해 보신분 계신가요? 2	썽피리	1,853	11년 전
6834	부트스트랩 까는 방법(?) 좀 알려주세요.. 4	회원12	2,161	11년 전
6829	SIR 브라우저별 접속 순위 4	관리자	1,069	11년 전
6824	SIR 익스플로러 버전별 접속 순위 4	관리자	1,392	11년 전
6820	커피스크립트란 무엇 인가요???? 3	이시태	1,333	11년 전
27839	탑메뉴 소스를 찾고있는데 ㅠㅠ 아무리검색해도안나오네요 ㅠ 2	열라뽕똬이	980	11년 전
6818	영카트 개발자분들 오는 무더위에 고생 많으십니다 1	노신사	733	11년 전
19529	JavaScript 그누보드5 에 Daum 우편번호 찾기 API 연동 하기 1	위토즈	2,162	11년 전

이전 다음

10 11 12 13 14

전체 목록