PHP网站安全告警 5.0 更新

2023-08-09更新
2.增加文件上传拦截
3.增加ssrf拦截
4.增加远程下载木马拦截
5.增加重命名为php文件拦截

一、文件上传拦截。

文件上传测试代码

<?php
// 允许上传的图片后缀
var_dump($_POST);
$allowedExts = array("gif", "jpeg", "jpg", "png","php");
$temp = explode(".", $_FILES["file"]["name"]);
$extension = end($temp); // 获取文件后缀名
// echo $extension;
if ((($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] > 10) // 小于 100b
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "错误：: " . $_FILES["file"]["error"] . " ";
}
else
{
echo "上传文件名: " . $_FILES["file"]["name"] . " ";
echo "文件类型: " . $_FILES["file"]["type"] . " ";
echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB ";
echo "文件临时存储的位置: " . $_FILES["file"]["tmp_name"] . " ";
move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
echo "文件存储在: " . "upload/" . $_FILES["file"]["name"];
}
}
else
{
var_dump($_FILES);
echo "非法的文件格式";
}
?>

复制代码

这里是允许上传php 的。测试如下：

微信截图_20230809142601.png

二、ssrf 拦截

测试代码：

复制代码

三、远程下载木马

测试代码

复制代码

支持的拦截暂时不多。后续会给出拦截的控制开关。

END

宝塔用户_upmudy · 发表于 2023-8-9 21:59:00

希望可以支持ARM

v2boy · 发表于 2023-9-22 23:00:13

不支持 php 8.2 吗