Q&A
なるほどぉ!その案で実装したいと思いますありがとうございます(`・ω・´)
ファイルアップロード時にbasename関数を使う理由として
送信されたファイル名内に ../ が含まれていたりフルパスだったりした場合、ディレクトリトラバーサル攻撃が可能になってしまうため、その対策としてbasename関数を使う
という認識なのですが
だとすると、送信されたファイル名に別途名前を付ける処理をしておけば、送信されたファイル名で保存したい場合以外はbasename関数に通す必要はないのでしょか?
回答3件
0
既に皆様が回答されているように、basename関数は要らないであっていますが、(好ましくはないが)$_FILESから送られてくるファイル名をそのまま使う場合でも、原理的にはbasename関数を通す必要はありません。なぜなら、$_FILESスーパーグローバル変数に格納される時点でbasename関数相当の処理が行われているからです。つまり、$_FILESからbasename関数を通すと、basename関数の処理を二重に行っていることになります。
$_FILESでbasename関数相当の処理は、PHP 4.3.7で追加されました。すなわち、PHP 4.3.7以降のPHPを使う場合(現在においては全てのケースでと言っていいですが)は、$_FILESに対してbasename関数を通す必要ない…のですが、一つ抜けがあり、PHP 5.3.6までは /a.txt などルート直下にある場合のみスラッシュが残ってしまう脆弱性がありました(CVE-2011-2202)。この脆弱性は、現在メンテナンスされているPHPでは修正されていますし、REHL6 / CentOS6 にバンドルされる PHP 5.3.3でもパッチが提供されています。すなわち、安全なPHPバージョンを使う限り心配はありません。
とは言え…$_FILESを直接扱う場合は、たとえ必要なくてもbasenameは通しておいたほうがよいかと思います。その理由は、以下の質問の回答に書いたとおりです。
PHP なぜbasenameでパスの最後にある名前の部分を取得しないといけないのでしょうか?
また、CVE-2011-2202については以下の記事を参照下さい。
投稿2017/09/28 12:46
総合スコア11701
0
ユーザーから送られてきたファイル名は無視すればよいのでは?
データベースなどと絡めてファイル管理用テーブルで
自動採番したidなどをファイル名にするとよいでしょう
投稿2017/09/28 12:16
総合スコア114839
0
ベストアンサー
その認識であっていると思います。
ユーザーがアップロードしたファイルのファイル名を basename() に通すのは、ディレクトリ表記を除去するための安全対策です。そのためファイル名を自動採番等、アプリ側で命名する場合は必要ありません。
投稿2017/09/28 12:23
総合スコア3095
再確認出来てよかったですありがとうございます( ˘•ω•˘ )
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/09/28 13:08
2017/09/28 13:57
2017/09/28 14:01
2017/09/28 14:33