테스트 사이트 - 개발 중인 베타 버전입니다
SIR

[php] 파일업로드 확장자 체크하기

파아랑
프로필 보기이 회원 글보기
 · 11년 전 · 4386 · 2

자주필요한것 같아서 올려봅니다.


[출처] http://habony.tistory.com/219#.U3oAGtJ_trA

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다.

예제 (ex #1
 <?php  
 $filename "test.php."
 $ext array_pop(explode("."strtolower($filename)));

 if(@ereg($ext"php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다.

예제 (ex #2
 <?php  
 $filename "test.gif.bmp.php."
 $ext explode("."strtolower($filename)); 

 $cnt count($ext)-1
 if($ext[$cnt] === ""){ 
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
    } 
 } else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 2개

한랭건조
프로필 보기이 회원 글보기
 11년 전
파일 업로드시 확장자만 체크 하는것 말고
좀더 보안을 강화 할 수 있는 방법 없을 까요??
확장자 체크는 그냥 확장자만 바꾸면 되는 일인지라.
바트형아
프로필 보기이 회원 글보기
 11년 전
그렇다면 mime type을 체크하면 될거 같습니다.

게시글 목록

번호 제목
384
알고있으면 유용한 무료 디자인소스 사이트
12508
JavaScript 서버시간 알아내기
383
css 템플릿 사이트
381
모바일 ui 사이트 1
20395
기타 swip 사용 안하고, touchstart, touchmove 사용하여 슬라이드 구현
12507
PHP 숫자를 한글표기로 바꾸기 입니다.
12506
Mobile Android,IOS 앱용 아이콘 템플릿 참고 사이트
12505
PHP 여러문장을 한번에 자동 줄바꿈 하기 입니다.
12504
웹서버 서버 동시접속자 설정 변경하기
12503
PHP 디렉토리의 모든 파일을 읽어 목록으로 만들기 입니다.
12502
PHP PHP 버전이 낮아 imagerotate() 함수가 없을때 대신 사용하는 함수
12500
PHP 간단하게 자동으로 테이블 너비 조정하기 입니다. 1
12499
PHP 문자열자르기 (문자별 다른 너비 해결)
12498
MySQL 테이블 복사 쿼리
20392
기타 많이들 사용하시는 Slider 에 대해서... 2
12497
PHP 현재 접속중인 사용자 나타내기
12496
MySQL mysql select 후 update 하기
12495
PHP 다른 페이지로 이동하는 방법 3가지 입니다.
12494
PHP 한글문자열 자르는 법 입니다.
12493
PHP mysql_query 전체 갯수 빨리 알아보기 입니다.
12492
PHP POST값 통째로 인코딩하기, 배열, iconv
12491
PHP 이메일주소 검사하기 입니다.
12490
웹서버 php 확장자 내 맘대로 바꾸기 입니다.
12489
PHP 문자열을 한 문자씩 나누어 출력하기 입니다.
12488
node.js Node js 게시판 프로젝트 소개합니다.
다음
전체 목록