[PHP-users 21540]ファイルのアップロード処理のセキュリティについて

[丸山 宏徳]

ご無沙汰しております、丸山です。ご無沙汰している間に、10日間で8kg痩せた
りニトロを飲むようになったり一ヶ月近く喋れなくなったりといろいろなことが
ありました。人生、退屈せずに済むのはありがたいことだと思っております(T_T)

ということで表題の件です。画像ファイルのアップロード処理を実装することに
なり、とりあえずhttp://www.php.net/manual/ja/features.file-upload.phpを
見て進めようと思っておりますが、ファイルのアップロード処理はセキュリティ
ホールが開きやすい場所だと伺っております。一応、今のところは上記URLにあ
るサンプルに加えて、以下のチェックを考えています。

・HTML側によるアップロードサイズの制限
・$_FILES['userfile']が半角英数字と「.」のみであるか（※検討中）
・$_FILES['userfile']の拡張子の確認（※検討中）
・is_uploaded_fileの戻り値がtrueであること
・$_FILES['userfile']['size']の確認
・move_uploaded_fileの戻り値がtrueであること

今回の案件は限りなくイントラに近いので、それほど神経質になる必要は無いか
なと感じておりますが、それでも転ばぬ先の杖ということで、他に（特にセキュ
リティ関係で）どこか参考になるようなWebページがありましたらご紹介頂けれ
ば幸いです。

一応、環境は前回と同じ、ミラクルライナックス＋PHP4.3.4です。よろしくお願
いいたします。



丸山　宏徳

E-Mail:kutsugi ＠ avis.ne.jp