怎么防止用户通过上传功能，上传可执行的PHP文件

在实际的项目开发中，我们经常使用提供表单等文件上传功能。在laravel社区，我们看到了一个关于如何防止用户上传PHP可执行文件的PHP安全指南。

上传文件往往在处理不当的情况下，确实会带来比较大的安全风险，特别是用户伪造信息，通过一些特殊请求让上传php可执行文件，从而引发网站的安全问题。

那么如何有效的防止用户上传php可执行文件呢？笔者摘录了该问题的解决方法，供大家参考：

为了解决这个问题，PHP中内置了一些特殊函数方法，只是为了在这种情况下使用。

basename()

个解决方案 — basename() 它从路径结束时提取路径的一部分，直到它遇到个斜杠，但忽略字符串末尾的斜杠，参见示例。无论如何，你会收到一个安全的文件名。如果你觉得安全 – 那么是的这很安全。如果它被不法上传利用 – 你可以使用它来校验文件名是否安全。

realpath()

另一个解决方案 — realpath()它将上传文件路径转换规范化的路径名，从根开始，并且根本不包含任何不安全因素。它甚至会将符号链接转换为此符号链接指向的路径。

因此，您可以使用这两个函数来检查上传文件的路径。要检查这个文件路径到底是否真正属于此文件夹路径。

函数代码

编写了一个函数来提供如上的检查。我并不是专家，所以风险请自行承担。代码如下。

<?php
/**
* Example for the article at medium.com
* Created by Igor Data.
* User: igordata
* Date: 2017-01-23
* @link https://medium.com/@igordata/php-running-jpg-as-php-or-how-to-prevent-execution-of-user-uploaded-files-6ff021897389 Read the article
*/
/**
* 检查某个路径是否在指定文件夹内。若为真，返回此路径，否则返回 false。
* @param String $path 被检查的路径
* @param String $folder 文件夹的路径，$path 必须在此文件夹内
* @return bool|string 失败返回 false，成功返回 $path
*
*/
function checkPathIsInFolder($path, $folder) {
if ($path === ” OR $path === null OR $path === false OR $folder === ” OR $folder === null OR $folder === false) {
/* 不能使用 empty() 因为有可能像 “0” 这样的字符串也是有效的路径 */
return false;
}
$folderRealpath = realpath($folder);
$pathRealpath = realpath($path);
if ($pathRealpath === false OR $folderRealpath === false) {
// Some of paths is empty
return false;
}
$folderRealpath = rtrim($folderRealpath, DIRECTORY_SEPARATOR) . DIRECTORY_SEPARATOR;
$pathRealpath = rtrim($pathRealpath, DIRECTORY_SEPARATOR) . DIRECTORY_SEPARATOR;
if (strlen($pathRealpath) < strlen($folderRealpath)) {
// 文件路径比文件夹路径短，那么这个文件不可能在此文件夹内。
return false;
}
if (substr($pathRealpath, 0, strlen($folderRealpath)) !== $folderRealpath) {
// 文件夹的路径不等于它必须位于的文件夹的路径。
return false;
}
// OK
return $path;
}