테스트 사이트 - 개발 중인 베타 버전입니다
SIR

[php] 파일업로드 확장자 체크하기

파아랑
프로필 보기이 회원 글보기
 · 11년 전 · 4388 · 2

자주필요한것 같아서 올려봅니다.


[출처] http://habony.tistory.com/219#.U3oAGtJ_trA

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다.

예제 (ex #1
 <?php  
 $filename "test.php."
 $ext array_pop(explode("."strtolower($filename)));

 if(@ereg($ext"php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다.

예제 (ex #2
 <?php  
 $filename "test.gif.bmp.php."
 $ext explode("."strtolower($filename)); 

 $cnt count($ext)-1
 if($ext[$cnt] === ""){ 
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
    } 
 } else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 2개

한랭건조
프로필 보기이 회원 글보기
 11년 전
파일 업로드시 확장자만 체크 하는것 말고
좀더 보안을 강화 할 수 있는 방법 없을 까요??
확장자 체크는 그냥 확장자만 바꾸면 되는 일인지라.
바트형아
프로필 보기이 회원 글보기
 11년 전
그렇다면 mime type을 체크하면 될거 같습니다.

게시글 목록

번호 제목
17730
SEO 검색엔진 상위리스트 올리기 11
11739
PHP PHP를 이용한 하루 한번 내사이트를 시작페이지로
11738
MySQL mysqlDB export 복원
20311
CSS 모바일웹 폰트사이즈? px? em?
11737
웹서버 프로그램을 백그라운드로 실행하는 법
11736
웹서버 리눅스 | 리눅스 파일 분할 법과 분할 압축/해제
11735
웹서버 리눅스에서 쉘상에 사용한 명령어 히스토리 확인하기
11734
웹서버 crontab 사용 설명입니다.
11732
기타 C언어를 이용한 웹 파싱 1 1
11731
웹서버 crontab을 이용한 지정된 시간에 ftp 실행하기
11730
웹서버 내 컴퓨터에 연결된 아이피 확인 하기
11729
기타 사내 아이피 충돌 알아내기
11728
PHP 작성시간 대신 몇 분, 몇 시간, 몇 일 전인지 알려주게 하는 방법
20308
HTML html5 멋진 사이트 1곳 2
20307
CSS overflow 속성
11727
기타 리눅스 문자열 찾기/바꾸기
11724
기타 vi 에디터 창나누기 기술~ 2
11723
웹서버 nslookup으로 dns 상태 알아보기
20306
CSS border 속성에도 기본값이라는게 있습니다.
20304
CSS position:fixed 에 대한 것입니다. 1
11722
PHP 접속 기종이 무엇인지 알려주는 함수
11721
기타 vpn과 프락시에 대한 정보
11720
웹서버 wget에 대한 팁
11719
웹서버 현재 개발되어 있는 포트번호를 확인하는 명령
11718
웹서버 IP 주소​를 사용하고 있는 사용자의 컴퓨터 이름과 그룹 정보를 제공하여 추적이 가능한 환경을 제공한다
이전 다음
전체 목록