php 文件上传禁止上传 aspx,云主机测试,高端vps,vps怎么换ip,个人云主机推荐

🗣 Wd提问: php 文件上传禁止上传 aspx

🤖 Ai回答:
在 PHP 中处理文件上传时，为了安全起见，通常需要限制用户上传的文件类型。如果你希望禁止上传 `.aspx` 文件（以及其他潜在危险的脚本文件），可以采取以下几种措施：

✅ 推荐做法：结合多种验证方式

1、检查文件扩展名
php
$allowed_extensions = ['jpg', 'jpeg', 'png', 'gif', 'pdf']; // 只允许这些扩展名
$disallowed_extensions = ['aspx', 'php', 'phtml', 'php3', 'php4', 'php5', 'pl', 'py', 'jsp', 'asp', 'exe', 'sh'];

$filename = $_FILES['upload']['name'];
$ext = strtolower(pathinfo($filename, PATHINFO_EXTENSION));

// 方法一：只允许白名单中的扩展名（推荐）
if (!in_array($ext, $allowed_extensions)) {
die('不允许的文件类型');
}

// 或者方法二：黑名单检查（不推荐单独使用，但可作为补充）
if (in_array($ext, $disallowed_extensions)) {
die('禁止上传 .aspx 等脚本文件');
}

⚠️ 注意：仅靠扩展名检查是不够的，因为攻击者可以伪造扩展名。

2、检查 MIME 类型（Content-Type）
php
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['upload']['tmp_name']);
finfo_close($finfo);

$allowedMimeTypes = ['image/jpeg', 'image/png', 'image/gif', 'application/pdf'];

if (!in_ array($mimeType, $allowedMimeTypes)) {
die('无效的文件类型');
}

✅ `finfo_file()` 比 `$_FILES['upload']['type']` 更可靠，因为后者可被客户端伪造。

3、将上传目录设置为不可执行
在 Web 服务器（如 Apache/Nginx）中，确保上传目录不能执行脚本。

Apache 示例（.htaccess）：
apache
<FilesMatch \.(php|aspx|pl|py|jsp|asp|sh|cgi)$
Require all denied
</FilesMatch

Nginx 示例：
nginx
location ~* ^/uploads/.*\.(php|aspx|pl|py|jsp|asp|sh|cgi)$ {
deny all;
}

4、重命名上传文件（避免原始文件名）
php
$newFilename = uniqid() 、'.' 、$ext;
move_uploaded_file($_FILES['upload']['tmp_name'], uploads/ 、$newFilename);

这样即使上传了恶意文件，也无法通过原始名称直接访问。

🛡️ 完整示例代码
php
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['upload'])) {
$file = $_FILES['upload'];

// 检查错误
if ($file['error'] !== UPLOAD_ERR_OK) {
die('上传出错');
}

$filename = $file['name'];
$ext = strtolower(pathinfo($filename, PATHINFO_EXTENSION));

// 白名单：只允许图片和 PDF
$allowed_exts = ['jpg', 'jpeg', 'png', 'gif', 'pdf'];
if (!in_array($ext, $allowed_exts)) {
die('禁止上传 .aspx 等脚本文件');
}

// 检查 MIME 类型
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $file['tmp_name']);
finfo_close($finfo);

$allowed_mimes = ['image/jpeg', 'image/png', 'image/gif', 'application/pdf'];
if (!in_array($mime, $allowed_mimes)) {
die('文件类型不合法');
}

// 生成安全文件名
$safe_name = uniqid() 、'.' 、$ext;
$upload_dir = 'uploads/';
if (!is_dir($upload_dir)) mkdir($upload_dir, 0755, true);

if (move_uploaded_file($file['tmp_name'], $upload_dir 、$safe_name)) {
echo 上传成功！;
} else {
echo 上传失败;
}
}
?
<form method=post enctype=multipart/form-data
<input type=file name=upload
<button type=submit上传</button
</form

🔒 总结

不要依赖黑名单（如只禁止 `.aspx`），应使用白名单机制。
永远不要信任用户输入，包括文件名、扩展名和 MIME 类型。
上传目录必须禁止脚本执行（服务器配置层面）。
重命名文件，避免路径遍历或直接执行。

这样可以有效防止 `.aspx`、`.php` 等恶意脚本上传和执行。

Ai作答

📣 商家广告：