PHP 7.4 中仅靠 in_array() 做黑白名单过滤无法防御恶意文件上传,必须结合 pathinfo() 提取扩展名、finfo_file() 校验真实 MIME 类型及权限隔离才有效;黑名单已基本失效。
PHP 7.4 中仅靠 in_array() 做黑白名单过滤,根本挡不住恶意文件上传——白名单必须配合 pathinfo()、finfo_file() 和权限隔离才真正有效;黑名单在 PHP 7.4 下几乎形同虚设,绕过方式太多。
pathinfo()
很多人用 substr(strrchr($filename, '.'), 1) 或 explode('.', $filename) 提取后缀,这会出问题:
abc.(末尾带点)→ explode 返回 ['abc', ''],end() 得空字符串,in_array('', $whitelist) 失败但没报错,可能漏放行shell.php.jpg → explode 取最后一个是 jpg,看似合法,实则可能触发 Apache 多后缀解析漏洞shell.PHP → 不转小写直接比对,in_array('PHP', $whitelist) 返回 false,误拒合法文件正确做法只有一条:$ext = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION));。它能稳定处理无扩展名、多点、大小写混杂等边界情况。
move_uploaded_file() 之前且检查 $_FILES['file']['error']
常见错误是先移动再校验,或忽略 error 状态:
立即学习“PHP免费学习笔记(深入)”;
$_FILES['file']['error'] !== UPLOAD_ERR_OK 时(比如值为 1/2/4),tmp_name 可能为空或无效,后续 finfo_file() 会警告甚至失败move_uploaded_file() 写在白名单判断前,等于先把恶意文件落地到临时目录,再删也晚了tmp_name,可能触发 “failed to open stream” 错误,暴露路径或引发未定义行为顺序必须是:if ($_FILES['file']['error'] === UPLOAD_ERR_OK) { $ext = ...; if (in_array($ext, $allowed)) { $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo); if (in_array($mime, ['image/jpeg', 'image/png'])) { /* 生成唯一文件名 + move */ } } }
PHP 7.4 默认禁用 %00 截断,但黑名单仍极易绕过:
.php5、.phtml、.php7 不在常见黑名单里.Php、.PHTML —— 黑名单若没统一转小写,就失效shell.php.、shell.php[空格] 保存后自动修剪,绕过检测Content-Type: image/png 抓包改一下,服务器若只校验 type 就中招如果你看到代码里还写着 $blacklist = ['php', 'jsp', 'asp'];,请立刻删掉——它给开发者虚假安全感,实际毫无防护力。
白名单只是第一关,后面两步缺一不可:
finfo_file() 校验真实 MIME 类型:浏览器传的 $_FILES['file']['type'] 完全可伪造,必须用 libmagic 读二进制头uniqid() . '.' . $safe_ext,绝不能拼接原始 $_FILES['file']['name']
location ~ .php$ { deny all; },Apache 要禁用 Options +ExecCGI
PDF 或 Office 文件即使通过白名单,也可能含恶意宏或 JS,这类业务需额外调用 pdfinfo 或 oletools 扫描——白名单管不到这一层。