PHP中uploaded_files函數使用方法詳解

對PHP語言有些瞭解的朋友們都知道，它包含有功能強大的函數庫。我們今天就一起來瞭解一下PHP uploaded_files函數的具體功能。
在早期的PHP版本中，上傳檔案很可能是通過如下的代碼實現的： 複製代碼 代碼如下:……
if (isset($_FILES['file'])) {
$tmp_name = $_FILES['file']['tmp_name'];
}
if (file_exists($tmp_name)) {
copy($tmp_name,$destfile);
}
……

但是很可能會被偽造一個$_FILES['file']數組出來，如果tmp_name的內容會被指定為/etc/passwd等敏感資訊的內容，那麼很容 易出現安全問題。PHP在後來的版本中用is_uploaded_file() 和 move_uploaded_file()解決了這個問題，用PHP uploaded_files函數不僅會檢查$_FILES['file'] ['tmp_name']是否存在，而且會檢查$_FILES['file']['tmp_name']是否是上傳的檔案，這樣就使得偽造$_FILES 變數變得不可能，因為指令碼會在檢查到$_FILES['file']['tmp_name']不是PHP上傳的時候終止執行。
偽造變得不可能了嗎？在很多的指令碼裡面我看到初試化部分就有@extract($_POST)之類的操作，以保證程式在register globals為off的環境下能繼續運行，這樣的環境下我們很輕鬆可以偽造$_FILES數組，甚至將原來的$_FILES數組覆蓋，但是想完全的偽造 一個$_FILES數組還是很困難的，因為你無法饒過is_uploaded_file() 和 move_uploaded_file()。
但是在windows下的PHP環境下測試時，我們發現PHP的臨時檔案很有規律，是C:\WINDOWS \TEMP\PHP93.tmp這種格式，上傳的時候檔案名稱字會是C:\WINDOWS\TEMP\PHPXXXXXX.tmp這種格式變化，其中 XXXXXX是十六進位的數字，並且是按照順序增加的，也就是說如果這次上傳的臨時檔案名稱是C:\WINDOWS\TEMP\PHP93.tmp，那麼下 次就會是C:\WINDOWS\TEMP\PHP94.tmp，臨時檔案名稱變得有規律。
但是我們可能不知道當前的檔案名稱是什麼，這可以通過PHP自身的錯 誤機制泄露出來，譬如我們將臨時檔案拷貝到一個沒有許可權的目錄或者在目標檔案裡包含檔案系統禁止的字元就可以將當前的臨時檔案名稱字給泄露出來，當然前提是 沒有錯誤抑制處理。
那麼到底如何饒過is_uploaded_file() 和 move_uploaded_file()呢？看看PHP uploaded_files函數部分的代碼： 複製代碼 代碼如下:PHP_FUNCTION(is_uploaded_file)
{
zval **path;
if (!SG(rfc1867_uploaded_files)) {
RETURN_FALSE;
}
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &path) != SUCCESS) {
ZEND_WRONG_PARAM_COUNT();
}
convert_to_string_ex(path);
if (zend_hash_exists(SG(rfc1867_uploaded_files), Z_STRVAL_PP(path), Z_STRLEN_PP(path)+1)) {
RETURN_TRUE;
} else {
RETURN_FALSE;
}
}

它 是從當前的rfc1867_uploaded_files雜湊表中尋找看是否當前的檔案名稱是否存在。其中rfc1867_uploaded_files保 存了當前PHP指令碼運行過程中由系統和PHP產生的有關檔案上傳的變數和內容。如果存在，就說明指定的檔案名稱的確是本次上傳的，否則為否。
PHP 有個很奇怪的特性就是，當你提交一個上傳表單時，PHP在做處理之前這個檔案就已經被上傳到臨時目錄下面，一直到PHP指令碼運行結束的時候才會銷毀掉。也 就是說，你即使向一個不接受$_FILSE變數的PHP指令碼提交這樣一個表單，$_FILSE變數依然會產生，檔案依然會被先上傳到臨時目錄。問題就產生 了。下面的指令碼可能能說明這個問題： 複製代碼 代碼如下:< ?
$a=$_FILES['attach']['tmp_name'];
echo $a.”………….”;
$file='C:\\WINDOWS\\TEMP\\PHP95.tmp';
echo $file;
if(is_uploaded_file($file)) echo ‘………………Yes';
?>

其 中C:\\WINDOWS\\TEMP\\PHP95.tmp是我猜測的臨時檔案名稱字，當時，測試這個指令碼的時候我們需要向它上傳一個檔案或者是100個 檔案，使得其中一個臨時檔案名稱為C:\\WINDOWS\\TEMP\\PHP95.tmp。如果此刻指令碼有extract操作，我們就可以很方便的偽造 出一個$_FILES變數了。
不是嗎？可能要問偽造$_FILES變數有什麼作用，我們就可以產生原來程式不允許的檔案名稱了，PHP在處理上傳的時候會對 原來的檔案名稱有一個類似於basename()的操作，但是一旦可以偽造之後我們就可以輕易的在檔案名稱之內加\啊../啊等等你所喜歡的任何東西
PHP uploaded_files函數的實際利用可能有點苛刻，但是也總算是PHP一點瑕疵吧，呵呵。