테스트 사이트 - 개발 중인 베타 버전입니다
SIR

[php] 파일업로드 확장자 체크하기

파아랑
프로필 보기이 회원 글보기
 · 11년 전 · 4389 · 2

자주필요한것 같아서 올려봅니다.


[출처] http://habony.tistory.com/219#.U3oAGtJ_trA

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다.

예제 (ex #1
 <?php  
 $filename "test.php."
 $ext array_pop(explode("."strtolower($filename)));

 if(@ereg($ext"php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다.

예제 (ex #2
 <?php  
 $filename "test.gif.bmp.php."
 $ext explode("."strtolower($filename)); 

 $cnt count($ext)-1
 if($ext[$cnt] === ""){ 
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
    } 
 } else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 2개

한랭건조
프로필 보기이 회원 글보기
 11년 전
파일 업로드시 확장자만 체크 하는것 말고
좀더 보안을 강화 할 수 있는 방법 없을 까요??
확장자 체크는 그냥 확장자만 바꾸면 되는 일인지라.
바트형아
프로필 보기이 회원 글보기
 11년 전
그렇다면 mime type을 체크하면 될거 같습니다.

게시글 목록

번호 제목
11800
jQuery 마우스 오버 위치에 따라 툴팁 생성 및 자동 이동
11798
jQuery animate 사용법 및 animate가 중복 될 경우 처리 하는 방법 1
11797
jQuery 제이쿼리 동적으로 생성된 객체에 이벤트 생성하기
11796
jQuery 제이쿼리 bind, unbind 이벤트 생성, 해제하기
11795
PHP php, 강제로 에러 출력하게 하기
11794
JavaScript shuffle 배열섞기
11793
jQuery 제이쿼리 모음 사이트
11792
PHP 1원팁] IP 대역 비교
11791
PHP [클래스] Interface 인터페이스
20314
CSS sprite 이미지를 css코드로 변환해주는 웹도구 3
11785
PHP input 쉽게 관리하기 5
11782
JavaScript 서버시간을 사용한 전자시계 2
11781
PHP [함수] 1원 팁 - fwrite() 함수 관련
20312
기타 영역 스크롤 질문드립니다. 1
11780
JavaScript 구글 웹사이트 번역기를 내 사이트에 달기
11778
웹서버 htaccess를 이용하여 짧은주소 및 url 주소 리다이렉션하기 1
11773
jQuery input value 값 1씩 한꺼번에 증가시키기 4
293
맑은고딕은 무료폰트 인가요? 7
11772
JavaScript 자바스크립트(4)
11771
PHP 자바스크립트(3)
11770
JavaScript 자바스크립트(2)
11769
JavaScript 자바스크립트(1)
11767
PHP 정규 표현식 1
11766
PHP 기타 함수
11765
PHP 수학 연산 함수
이전 다음
전체 목록