1892 字

9 分钟

第25天：安全开发-PHP应用

2025-08-01

安全开发

/

php开发

/

网络安全

PHP文件管理模块安全深度剖析：漏洞详解与加固指南#

目录#

一、源码功能概述
二、源码逐行解析
三、关键函数分析
四、漏洞全景分析
五、安全加固方案
六、完整源码参考
七、总结与扩展阅读

一、源码功能概述#

该PHP脚本实现了一个简易文件管理系统，核心功能包括：

目录浏览：展示当前目录下的文件/子目录（支持图标分类）
文件操作：
- 编辑文件内容（支持文本修改与保存）
- 下载文件（通过HTTP流输出）
- 删除文件（直接调用unlink()）
路径控制：
- 通过open_basedir限制脚本访问范围（ini_set('open_basedir',__DIR__)）
- 支持通过?path=参数切换目录
文件信息展示：
- 文件名、大小（自动转换为KB）、修改时间
- 文件类型区分（目录/文件）

⚠️ 高危提示：所有功能均依赖未过滤的$_GET参数，导致多重安全漏洞。

二、源码逐行解析#

1. 初始化与环境配置#

1
<?php
2
// 限制文件操作仅限当前目录（但可通过../绕过）
3
ini_set('open_basedir',__DIR__);
4
// 获取用户输入的路径和操作类型，默认值分别为'./'和空
5
$path=$_GET['path'] ?? './';
6
$action = isset($_GET['a'])?$_GET['a']:'';

风险点：$_GET['path']未过滤，允许输入../../etc/passwd等恶意路径。

2. 路径处理逻辑#

1
// 若路径是文件，分离文件名和目录路径
2
if(is_file($path)) {
3
    $file = basename($path);  // 获取文件名
4
    $path = dirname($path);   // 获取目录路径
5
}
6
// 若路径既非文件也非目录
7
elseif(!is_dir($path)) {
8
    echo '我只会吃瓜！';  // 暴露路径信息风险
9
}

漏洞：

basename()无法防御..%2F等编码绕过
错误提示暴露目录结构（如/var/www不存在）。

3. 目录遍历函数`getlist()`#

1
function getlist($path){
2
    $hd=opendir($path);  // 打开目录
3
    while(($file_name=readdir($hd))!== false) {
4
        if($file_name != '.' && $file_name != '..') {
5
            $file_path = "$path/$file_name";
6
            $file_type = filetype($file_path);  // 获取文件类型
7
        }
8
        // 构建文件信息数组（含大小、时间）
9
        $list[$file_type][] = array(
10
            'file_name'=>$file_name,
11
            'file_path'=>$file_path,
12
            'file_size'=>round(filesize($file_path)/1024),  // 转换为KB
13
            'file_time'=>date('Y/m/d H:i:s',filemtime($file_path)),
14
        );
15
    }
16
    closedir($hd);
17
    return $list;
18
}

漏洞：

filesize()对目录返回失败，导致报错泄露路径
未过滤文件名，可能触发XSS（如文件名含<script>）。

4. 文件操作功能（`switch`逻辑）#

1
switch ($action){
2
    case 'del':  // 删除文件
3
        unlink($file);  // 直接删除，无权限校验
4
        break;
5
    case 'down':  // 下载文件
6
        header("Content-Type: application/octet-stream");
7
        header("Content-Disposition: attachment; filename=\"" . $file . "\"");
8
        readfile($file);  // 输出文件内容
9
        break;
10
    case 'edit':  // 编辑文件
11
        $content=file_get_contents($file);
12
        echo '<textarea name="code">'.$content.'</textarea>'; // 未转义内容
13
        break;
14
}

致命漏洞：

任意文件删除（?a=del&path=config.php）
任意文件下载（可下载/etc/passwd）
文件内容未转义导致存储型XSS。

5. 文件写入逻辑#

1
if(isset($_POST['code'])){
2
    $f=fopen("$path/$file",'w+');
3
    fwrite($f,$_POST['code']); // 写入用户输入内容
4
    fclose($f);
5
}

漏洞：

可覆盖系统文件（如.htaccess）
可写入Webshell（如<?php system($_GET[cmd])?>）。

三、关键函数分析#

函数	作用	安全风险	国内参考链接
`basename()`	提取路径中的文件名	无法防御编码绕过（`%2e%2e%2f`）	PHP路径遍历防御
`filetype()`	获取文件类型	对非常规文件返回失败泄露路径	PHP文件系统函数风险
`readfile()`	输出文件内容	可读取敏感文件（如源码、配置文件）	任意文件下载漏洞案例
`file_get_contents()`	读取文件到字符串	无长度限制可导致内存溢出	PHP文件操作安全指南
`unlink()`	删除文件	任意文件删除导致系统瘫痪	文件删除漏洞防御

四、漏洞全景分析#

1. 路径遍历（Directory Traversal）#

风险等级：🔥 高危
利用方式：

1
?path=../../etc/passwd        # Linux系统
2
?path=.../.../windows/win.ini # Windows系统

成因：未过滤../和编码字符（如%2e%2e%2f）。
修复方案：

1
// 路径规范化与白名单校验
2
$baseDir = realpath(__DIR__);
3
$userPath = realpath($_GET['path']);
4
if (!$userPath || strpos($userPath, $baseDir) !== 0) {
5
    die("非法路径访问！");
6
}

2. 未授权文件操作#

风险等级：🔥 高危
案例：

删除：?a=del&path=index.php → 网站瘫痪
下载：?a=down&path=.env → 数据库密码泄露
修复方案：

1
session_start();
2
if (!isset($_SESSION['user_id'])) die("请登录！");
3
// 操作前校验权限
4
if ($action === 'del' && !is_admin()) die("无权限！");

3. XSS跨站脚本漏洞#

风险等级：⚠️ 中危
利用场景：

文件名含"><script>alert(1)</script>
文件内容写入<script>stealCookie()</script>
修复方案：

1
// 输出转义
2
echo htmlspecialchars($content, ENT_QUOTES, 'UTF-8');

参考：XSS防御实战

4. 文件上传/写入漏洞#

风险等级：💀 严重
利用链：

1
GET /?a=edit&path=shell.php
2
POST code=<?php system($_GET['cmd']);?>

结果：通过访问/shell.php?cmd=rm+-rf+/可删除服务器所有文件。
修复方案：

1
$allowedExt = ['txt','md'];
2
$ext = pathinfo($file, PATHINFO_EXTENSION);
3
if (!in_array($ext, $allowedExt)) die("禁止操作！");

5. 文件包含漏洞（潜在风险）#

风险等级：⚠️ 高危
成因：虽然未直接使用include()，但path参数可控可能被其他模块包含。
利用伪协议：

1
?path=php://filter/convert.base64-encode/resource=config.php # 读取Base64编码内容

防御：

1
ini_set('allow_url_include', '0'); // 禁用远程包含

参考：文件包含漏洞详解

五、安全加固方案#

1. 输入验证层#

1
// 路径消毒函数
2
function sanitizePath($input) {
3
    $base = realpath(__DIR__);
4
    $realPath = realpath($input);
5
    // 校验是否在基础目录内
6
    return ($realPath && strpos($realPath, $base) === 0) ? $realPath : $base;
7
}
8

9
// 文件名安全过滤
10
function sanitizeFilename($name) {
11
    return preg_replace('/[^\w\-\.]/', '', $name); // 只保留字母、数字、下划线、连字符和点
12
}

2. 权限控制矩阵#

1
$permissions = [
2
    'admin' => ['delete', 'edit', 'download'],
3
    'user'  => ['download']
4
];
5

6
function checkPermission($action) {
7
    $role = $_SESSION['role'] ?? 'guest';
8
    return in_array($action, $permissions[$role]);
9
}

3. 日志审计模块#

1
function logAction($action, $file) {
2
    $log = sprintf(
3
        "[%s] IP:%s ACTION:%s FILE:%s\n",
4
        date('Y-m-d H:i:s'),
5
        $_SERVER['REMOTE_ADDR'],
6
        $action,
7
        $file
8
    );
9
    file_put_contents('audit.log', $log, FILE_APPEND);
10
}

4. 安全响应头设置#

1
// 防止敏感信息泄露
2
header('X-Content-Type-Options: nosniff');
3
// 阻止点击劫持
4
header('X-Frame-Options: DENY');
5
// 启用XSS过滤器
6
header('X-XSS-Protection: 1; mode=block');

六、完整源码参考（加固版）#

1
<?php
2
session_start();
3
ini_set('open_basedir', realpath(__DIR__));
4
ini_set('allow_url_fopen', '0');
5
header('X-Frame-Options: DENY');
6

7
// ==== 安全函数定义 ====
8
function sanitizePath($input, $base) {
9
    $realPath = realpath($input);
10
    return ($realPath && strpos($realPath, $base) === 0) ? $realPath : $base;
11
}
12

13
function checkPermission($action) {
14
    $role = $_SESSION['role'] ?? 'guest';
15
    $perms = ['admin'=>['del','edit','down'], 'user'=>['down']];
16
    return in_array($action, $perms[$role] ?? []);
17
}
18

19
// ==== 主逻辑 ====
20
$baseDir = __DIR__;
21
$path = isset($_GET['path']) ? sanitizePath($_GET['path'], $baseDir) : $baseDir;
22
$action = $_GET['a'] ?? '';
23

24
if (is_file($path)) {
25
    $file = basename($path);
26
    $path = dirname($path);
27
} elseif (!is_dir($path)) {
28
    die("目录不存在"); // 模糊错误提示
29
}
30

31
$list = [];
32
if ($dh = opendir($path)) {
33
    while (($name = readdir($dh)) !== false) {
34
        if ($name == '.' || $name == '..') continue;
35
        $fullPath = "$path/$name";
36
        $type = filetype($fullPath);
37
        $list[$type][] = [
38
            'name' => $name,
39
            'path' => $fullPath,
40
            'size' => ($type == 'file') ? round(filesize($fullPath)/1024) : 0,
41
            'time' => date('Y/m/d H:i:s', filemtime($fullPath))
42
        ];
43
    }
44
    closedir($dh);
45
}
46

47
// ==== 操作处理 ====
48
if ($action && checkPermission($action)) {
49
    switch ($action) {
50
        case 'del':
51
            if (unlink("$path/$file")) {
52
                logAction('delete', $file);
53
            }
54
            break;
55
        case 'down':
56
            header("Content-Type: application/octet-stream");
57
            header("Content-Disposition: attachment; filename=\"" . preg_replace('/[^\w\.\-]/', '', $file) . "\"");
58
            readfile("$path/$file");
59
            logAction('download', $file);
60
            exit;
61
        case 'edit':
62
            $ext = pathinfo($file, PATHINFO_EXTENSION);
63
            if (!in_array($ext, ['txt','md'])) die("禁止编辑");
64
            $content = file_get_contents("$path/$file");
65
            echo '<textarea>' . htmlspecialchars($content) . '</textarea>';
66
            break;
67
    }
68
}
69

70
// ==== 写入处理 ====
71
if (isset($_POST['code']) && checkPermission('edit')) {
72
    file_put_contents("$path/$file", $_POST['code']);
73
    logAction('edit', $file);
74
}
75

76
// ==== 前端HTML渲染 ====
77
/* 此处省略界面代码，需对所有输出变量调用htmlspecialchars() */
78
?>

七、总结与扩展阅读#

核心安全原则#

最小权限：用户仅赋予必要权限（如普通用户禁止删除）
深度防御：输入验证+输出转义+操作审计
隐私保护：错误信息模糊化（避免路径泄露）