Jednou z nejčastěji vyžadovaných funkcí snad v každé aplikaci je nahrávání souborů. U webů, kde nejde o peníze, na zabezpečení asi příliš nesejde, avšak tam, kde by případné napadení mělo nepříjemné důsledky, je nutné postupovat opatrně – vyplatí se být paranoidní.
Po nahrání souboru na server je vytvořena dočasná kopie a superglobální pole $_FILES. Problém s bezpečností může nastat například při manipulaci položek tohoto pole, což zkušený útočník zvládne. Proto se nedoporučuje spoléhat se při zpracování dat na toto pole, ale využít funkci getimagesize(), která jediná bezpečně potvrdí, že se jedná o obrazová data a ne o podstrčený zákeřný skript. Nastavení přístupových práv u složek je samozřejmostí a nebudu je zde rozebírat. Při napadení webu je to průšvih administrátora – ne programátora.
Podívejme se nejprve blíže na formulář pro odeslání souboru. Data budeme odesílat metodou POST. Při nahrávání souborů musí být přítomný také atribut enctype=“multipart/form-data“. Chcete-li omezit velikost nahraného souboru, lze přidat i skrytý element s názvem MAX_FILE_SIZE (velikost nastavte v bytech; více viz. POST method uploads). Některé prohlížeče s tím umí pracovat a upozorní na příliš velký soubor. Jinak samozřejmě velikost souboru ošetřujeme také v php.
index.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
<!DOCTYPE html> <html lang="cs"> <head> <meta charset="UTF-8" /> </head> <body> <form action="upload.php" method="post" enctype="multipart/form-data"> <input type="hidden" name="MAX_FILE_SIZE" value="2000000" /> Vyberte soubor: <input name="soubor" type="file" /> <input type="submit" value=" Odeslat " /> </form> </body> </html> |
Po stisknutí tlačítka Odeslat bude soubor předán skriptu upload.php. Na serveru se automaticky vytvoří dočasná kopie a globální pole $_FILES, které se skládá z pěti položek:
- $_FILES[„soubor“][„name“] // originální název souboru
- $_FILES[„soubor“][„type“] // MIME typ souboru
- $_FILES[„soubor“][„size“] // velikost souboru
- $_FILES[„soubor“][„tmp_name“] // umístění dočasného souboru na serveru
- $_FILES[„soubor“][„error“] // chybový kód výsledku uploadu
Namísto $_FILES[„soubor“][„type“] můžete zjistit skutečný typ obrázku pomocí funkce getimagesize(). Tento postup je lepší nejen kvůli bezpečnosti, ale také pro funkčnější chod skriptu v případě, kdy MIME typ předává některá z nemocných verzí Internet Exploreru.
|
1 |
list($width, $height, $type) = getimagesize($_FILES['soubor']['tmp_name']); |
Zároveň se mohou hodit i údaje o velikosti obrázku v pixelech ($width, $height).
V době psaní článku bylo „uzákoněno“ 17 rozpoznatelných kódů typů obrazových souborů. Několik prvních ze seznamu zde uvádím:
| 1 | IMAGETYPE_GIF |
| 2 | IMAGETYPE_JPEG |
| 3 | IMAGETYPE_PNG |
| 4 | IMAGETYPE_SWF |
| 5 | IMAGETYPE_PSD |
| 6 | IMAGETYPE_BMP |
Zbývající kódy typů souborů naleznete na stránce http://www.php.net/manual/en/function.exif-imagetype.php .
Testovat, zda jde doopravdy o obrazový soubor můžete jednoduše i takto:
|
1 2 3 |
if( !getimagesize($_FILES['soubor']['tmp_name']) ){ die('Soubor není obrázek.'); } |
Je také dobré testovat, zda nebyla překročena maximální povolená velikost přednastavená serverem, nicméně pokud píšete aplikaci pro konkrétní server, stačí kontrolovat velikost souboru.
|
1 2 3 |
if( $_FILES["soubor"]["error"] == UPLOAD_ERR_INI_SIZE ) { $msg .= "Soubor je příliš velký, maximální velikost je " . ini_get('upload_max_filesize')."<br />"; } |
Po stisknutí tlačítka Odeslat je soubor odeslán skriptu upload.php:
upload.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 |
<?php define('MAX_VELIKOST', 2000000); // maximální povolená velikost souboru v bytech if( !empty($_FILES["soubor"]) ) { list($width, $height, $type) = getimagesize($_FILES['soubor']['tmp_name']); $slozka = dirname(__FILE__).'/upload/'; $msg = ""; if( $type == IMAGETYPE_JPEG || $type == IMAGETYPE_PNG ) { $filename = basename($_FILES['soubor']['name']); $nazev = pathinfo($filename, PATHINFO_FILENAME); $nazev = iconv("utf-8", "us-ascii//TRANSLIT", $nazev); //odstraníme pro jistotu diakritiku $nazev = strtolower($nazev); $nazev = preg_replace('~[^-a-z0-9_]+~', '', $nazev); //po odstranění diakritiky zůstala transkripce ' takže ji také zrušíme $pripona = pathinfo($filename, PATHINFO_EXTENSION); $pripona = strtolower($pripona); //Existuje-li již název souboru, přidáme číslici před tečku (např. soubor1.jpg) $increment = ''; //v prvním cyklu nechceme nic přidávat while(file_exists( $slozka . $nazev . $increment . '.' . $pripona )) { $increment++; if( $increment > 100 ) { //pojistka die("Počet pokusů o vytvoření neexistujícího názvu souboru překročil limit (100)."); } } $nazev_souboru = $slozka . $nazev. $increment . '.' . $pripona; if( move_uploaded_file($_FILES['soubor']['tmp_name'], $nazev_souboru) ) { $msg = "Soubor $nazev_souboru byl úspěšně uložen.<br />"; } else { $msg = "Během ukládání došlo k chybě"; if(!file_exists($slozka)) { $msg .= ": Složka pro uložení neexistuje.<br />"; } elseif(!is_writable($slozka)) { $msg .= ": Ke složce nejsou nastavena přístupová práva.<br />"; } elseif(!is_writable($nazev_souboru)) { $msg .= ": Soubor není zapisovatelný.<br />"; } } } else { $msg .= "Soubory typu ".$_FILES["soubor"]["type"]." nejsou povolené.<br />"; } if( $_FILES["soubor"]["size"] > MAX_VELIKOST ) { $msg .= "Soubor NEBYL uložen! Maximální povolená velikost je ".MAX_VELIKOST." B.<br />"; } } else { $msg = "Chyba při nahrávání. Přenos dat byl pravděpodobně přerušen."; } echo $msg; ?> |
Podmínka if( !empty($_FILES[„soubor“]) ) otestuje, zda vůbec data dorazila.
Další podmínkou … if( $type == IMAGETYPE_JPEG || $type == IMAGETYPE_PNG ) … zjišťujeme, zda byl nahrán námi povolený typ souboru. Zároveň je tím zaručeno, že jde skutečně o obrazová data. Na webu objevíte většinou jen postupy, kde se typ souboru získává z pole $_FILES a sice z $_FILES[„soubor“][„type“]. Útočník by však mohl podstrčit php skript a pokud by nebylo na složce zakázáno vykonávání skriptů, mohl by ovládnout celý web.
V následujícím kroku pouze odstraníme diakritiku z názvu souboru (ukládat soubory včetně diakritiky samozřejmě lze, ale je to trochu pracnější na obsluhu) a pomocí cyklu while otestujeme, zda soubor náhodou již ve složce není. Pokud tam je, přidáme za název číslici. Nakonec slepíme dohromady název + číslici + tečku + příponu a předáme název funkci move_uploaded_file(), která přesune dočasný soubor $_FILES[‚soubor‘][‚tmp_name‘] do požadovaného umístění s požadovaným názvem souboru. To je vše. Zbytek kódu obsahuje pouze dodatečné testy, které pomáhají především při ladění.