테스트 사이트 - 개발 중인 베타 버전입니다
SIR

[php] 파일업로드 확장자 체크하기

파아랑
프로필 보기이 회원 글보기
 · 11년 전 · 4385 · 2

자주필요한것 같아서 올려봅니다.


[출처] http://habony.tistory.com/219#.U3oAGtJ_trA

파일 업로드시 php 나 html 등 위험한 파일은 보통 제한하게 됩니다. 그래서 다양한 방법으로 허용가능 파일인지 체크 스크립트를 작성해 주는데, 문제는 잘못된 체크방법으로 개발자도 모르는 우회하여 파일을 업로드됩니다.

예제 (ex #1
 <?php  
 $filename "test.php."
 $ext array_pop(explode("."strtolower($filename)));

 if(@ereg($ext"php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>

아무 문제가 없어 보이지만, 실은 php. 나 htm. gif. 등 모두 실행 가능한 파일임을 알아 둘 필요가 있습니다. 그러므로 다음 같이 한번더 체크해서 공격자가 우회하지 못하게 해주는게 좋습니다.

예제 (ex #2
 <?php  
 $filename "test.gif.bmp.php."
 $ext explode("."strtolower($filename)); 

 $cnt count($ext)-1
 if($ext[$cnt] === ""){ 
    if(@ereg($ext[$cnt-1], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
    } 
 } else if(@ereg($ext[$cnt], "php|php3|php4|htm|inc|html")){ 
        echo "죄송합니다. php, html 파일은 업로드가 제한됩니다."
 } 
 ?>
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 2개

한랭건조
프로필 보기이 회원 글보기
 11년 전
파일 업로드시 확장자만 체크 하는것 말고
좀더 보안을 강화 할 수 있는 방법 없을 까요??
확장자 체크는 그냥 확장자만 바꾸면 되는 일인지라.
바트형아
프로필 보기이 회원 글보기
 11년 전
그렇다면 mime type을 체크하면 될거 같습니다.

게시글 목록

번호 제목
11623
웹서버 FTP 프로세스 죽이기 1
20284
기타 jQuery로 동작하는 페이지 로딩바 7
291
CG Omega 저작권 문의드립니다. 1
11622
jQuery 레이아웃 float 사용시 좌우 레이어 높이값 같게하기
20283
CSS CSS slider 테스트1
20282
CSS 수평메뉴1
11620
node.js Node.js 서버의 기본적인 내용 정리 1
20281
기타 dpi 환산표(?)
11619
기타 ocx 호환(win7 32bit 64bit)
20280
기타 px to em 또는 em to px
11612
PHP 숫자를 한글로 변환 2
11611
PHP 웹프로그램 하나 만들어주세요. 렌터카용입니다.
11608
PHP 썸네일 클래스입니다 2
11605
PHP [php] 파일업로드 확장자 체크하기 2 현재글
11602
MySQL 자주쓰는 MYSQL 2
11601
기타 즐겨찾기 추가 IE/FireFox 적용
11600
PHP 두지점의 위도,경도간 거리계산
11599
MySQL 트리거를 이용 시 이전 insert 쿼리 primary key값 가지고 오기
11597
MySQL 무한 로딩 중인 쿼리 죽이기 1
11596
기타 파폭 ssh, ftp
11595
MySQL mysql 기본 사용법
11594
기타 무료 db 클라이언트 툴
11593
웹서버 .htaccess를 이용한 리다이렉션에 대해 알아볼게요.
11592
jQuery 제이쿼리를 이용하여 노드 선택
11591
jQuery append를 이용하여 엘리먼트 추가하기
이전 다음
전체 목록