php – 解压缩用户提交的文件的安全性

前端之家收集整理的这篇文章主要介绍了php – 解压缩用户提交的文件的安全性前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
这里不仅仅是编码问题,而是与安全性有关的一般性问题.
我目前正在开发一个允许用户提交内容的项目.
内容的关键部分是用户上传Zip文件.
zip文件应该只包含mp3文件.

然后我将这些文件解压缩到服务器上的目录,以便我们可以在网站上传输音频供用户收听.

我担心的是,这会打开一些可能具有破坏性的zip文件.
我过去读过’zipbombs’,显然不希望恶意zip文件造成损坏.

那么,有没有一种安全的方法呢?
我可以扫描zip文件而不先解压缩,如果它包含MP3以外的任何内容,请删除它或向管理员发出警告?

如果它有所作为我正在wordpress上开发网站.
我目前使用wordpress的内置上传功能用户将zip文件上传到我们的服务器(我不确定wordpress中是否有任何形式的安全性来扫描zip文件?)

代码,只从zip中提取MP3,忽略其他内容
$zip = new ZipArchive();
$filename = 'newzip.zip';

if ($zip->open($filename)!==TRUE) {
   exit("cannot open <$filename>\n");
}

for ($i=0; $i<$zip->numFiles;$i++) {
   $info = $zip->statIndex($i);
   $file = pathinfo($info['name']);
   if(strtolower($file['extension']) == "mp3") {
        file_put_contents(basename($info['name']),$zip->getFromIndex($i));
   }

}
$zip->close();

我会使用像id3_get_version(http://www.php.net/manual/en/function.id3-get-version.php)这样的东西来确保文件内容也是mp3

猜你在找的PHP相关文章