Upload plikow w PHP: ryzyka i dobre praktyki

Cel prezentacji

Co przekazesz słuchaczom?

Słuchacze zrozumieja, jak działa upload plikow w PHP, jakie zagrożenia się z tym wiaza oraz jak implementować bezpieczny mechanizm przesyłania plikow. Poznaja techniki walidacji, generowania bezpiecznych nazw i prawidłowego przechowywania plikow.

Plan prezentacji (8-12 min)

Wprowadzenie (1 min) - Gdzie spotykamy upload plikow w aplikacjach
Teoria: Jak działa upload (2 min) - Formularz, multipart/form-data, $_FILES
Teoria: Zagrożenia (3 min) - Wykonanie kodu, path traversal, DoS
Demo praktyczne (4 min) - Implementacja bezpiecznego uploadu
Podsumowanie (2 min) - Checklist bezpieczeństwa

Kluczowe zagadnienia

Jak działa upload plikow

Formularz musi mieć odpowiednie atrybuty:

<form action="upload.php" method="POST" enctype="multipart/form-data">
  <label for="file">Wybierz plik:</label>
  <input type="file" name="userfile" id="file" accept=".jpg,.png,.pdf">

  <button type="submit">Wyslij</button>
</form>

Kluczowe elementy:

method="POST" - pliki wysyłane w body
enctype="multipart/form-data" - kodowanie dla plikow
accept - sugestia typow (ale nie walidacja!)

PHP otrzymuje informacje o pliku w $_FILES:

<?php
// $_FILES['userfile'] zawiera:
$file = $_FILES['userfile'];

echo $file['name'];      // Oryginalna nazwa pliku
echo $file['type'];      // Typ MIME (z przegladarki - niezaufany!)
echo $file['size'];      // Rozmiar w bajtach
echo $file['tmp_name'];  // Ścieżka do pliku tymczasowego
echo $file['error'];     // Kod błędu (0 = sukces)

Kody błędów:

UPLOAD_ERR_OK (0) - sukces
UPLOAD_ERR_INI_SIZE (1) - przekroczono upload_max_filesize
UPLOAD_ERR_FORM_SIZE (2) - przekroczono MAX_FILE_SIZE z formularza
UPLOAD_ERR_PARTIAL (3) - plik wysłany czesciowo
UPLOAD_ERR_NO_FILE (4) - nie wysłano pliku

Przenoszenie pliku z tmp do docelowej lokalizacji:

<?php
if ($_FILES['userfile']['error'] === UPLOAD_ERR_OK) {
    $tmpPath = $_FILES['userfile']['tmp_name'];
    $destPath = '/var/www/uploads/' . basename($_FILES['userfile']['name']);

    // UWAGA: to jest NIEBEZPIECZNE! (przykład do pokazania)
    if (move_uploaded_file($tmpPath, $destPath)) {
        echo 'Plik zapisany!';
    }
}

move_uploaded_file() jest bezpieczniejsze niz copy() - sprawdza, czy plik pochodzi z uploadu.

Zagrożenia zwiazane z uploadem

Wykonanie kodu

Atakujacy wysyła plik .php lub .php.jpg który może zostac wykonany przez serwer.

Skutki: Pełna kontrola nad serwerem, kradzież danych, backdoor.

Path Traversal

Nazwa pliku zawiera ../ pozwalajac zapisać plik w dowolnym miejscu.

Przykład: ../../config.php - nadpisanie konfiguracji.

Denial of Service

Wysyłanie bardzo dużych plikow lub wielu plikow naraz przeciaza serwer.

Skutki: Brak miejsca na dysku, przeciazenie serwera.

Malware/Wirusy

Użytkownik wysyła zainfekowany plik, który może być pobrany przez innych.

Skutki: Rozprzestrzenianie malware przez Twoja aplikacje.

Techniki ochrony

Whitelist dozwolonych rozszerzeń:

<?php
$allowedExtensions = ['jpg', 'jpeg', 'png', 'gif', 'pdf'];
$filename = $_FILES['userfile']['name'];
$extension = strtolower(pathinfo($filename, PATHINFO_EXTENSION));

if (!in_array($extension, $allowedExtensions)) {
    die('Niedozwolone rozszerzenie pliku!');
}

Uwaga: Same rozszerzenie to za mało! Można wysłac plik evil.php jako evil.jpg.

Sprawdzanie rzeczywistego typu pliku:

<?php
$allowedMimes = ['image/jpeg', 'image/png', 'image/gif', 'application/pdf'];
$tmpPath = $_FILES['userfile']['tmp_name'];

// Użyj finfo zamiast $_FILES['type'] (który pochodzi z przegladarki!)
$finfo = new finfo(FILEINFO_MIME_TYPE);
$mimeType = $finfo->file($tmpPath);

if (!in_array($mimeType, $allowedMimes)) {
    die('Niedozwolony typ pliku!');
}

Ważne: Nie ufaj $_FILES['type'] - to wartość od klienta!

Ograniczenie maksymalnego rozmiaru:

<?php
$maxSize = 5 * 1024 * 1024; // 5 MB

if ($_FILES['userfile']['size'] > $maxSize) {
    die('Plik jest za duży! Maksymalny rozmiar: 5 MB');
}

// Dodatkowo w php.ini:
// upload_max_filesize = 5M
// post_max_size = 8M

Generowanie unikalnej nazwy pliku:

<?php
$originalName = $_FILES['userfile']['name'];
$extension = strtolower(pathinfo($originalName, PATHINFO_EXTENSION));

// Opcja 1: UUID
$safeName = bin2hex(random_bytes(16)) . '.' . $extension;

// Opcja 2: Timestamp + random
$safeName = time() . '_' . bin2hex(random_bytes(8)) . '.' . $extension;

// NIGDY nie uzywaj oryginalnej nazwy bez sanityzacji!

Sugestie wizualne

Slajd 1: Przepływ uploadu

Diagram pokazujacy:

Użytkownik wybiera plik w formularzu
Przegladarka koduje plik (multipart/form-data)
Serwer otrzymuje plik w katalogu tymczasowym
PHP przenosi plik do docelowej lokalizacji

Slajd 2: Anatomia $_FILES

Tabela pokazujaca wszystkie pola tablicy $_FILES z przykładowymi wartosciami i ostrzezeniami (np. ‘type’ - niezaufane!).

Slajd 3: Zagrożenia - wizualizacja

Trzy scenariusze ataku z ikona zagrożenia:

Plik .php uploadowany jako obrazek
Nazwa ../../../etc/passwd
Plik 10 GB zapełniający dysk

Slajd 4: Checklist bezpieczeństwa

Lista kontrolna z checkboxami:

Demo praktyczne

Przygotowanie do demo

Scenariusz demo 1: Niebezpieczny upload

Pokaz prosty formularz bez walidacji
Wyslij plik z podwojnym rozszerzeniem (np. evil.php.jpg)
Pokaz, że plik został zapisany
Omow, dlaczego to jest niebezpieczne

<?php
// PRZYKŁAD NIEBEZPIECZNEGO KODU - NIE UZYWAC!
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $target = 'uploads/' . $_FILES['file']['name'];
    move_uploaded_file($_FILES['file']['tmp_name'], $target);
    echo "Zapisano: " . htmlspecialchars($target);
}
?>
<form method="POST" enctype="multipart/form-data">
    <input type="file" name="file">
    <button>Upload</button>
</form>

Scenariusz demo 2: Bezpieczny upload

Pokaz poprawiona wersje z walidacja
Wyslij złośliwy plik - pokaz odrzucenie
Wyslij prawidłowy plik - pokaz sukces
Pokaz wygenerowana bezpieczna nazwe

<?php
class SecureUploader {
    private array $allowedExtensions = ['jpg', 'jpeg', 'png', 'gif'];
    private array $allowedMimes = ['image/jpeg', 'image/png', 'image/gif'];
    private int $maxSize = 2 * 1024 * 1024; // 2 MB
    private string $uploadDir = '/var/www/uploads/';

    public function upload(array $file): string {
        // 1. Sprawdz błędy uploadu
        if ($file['error'] !== UPLOAD_ERR_OK) {
            throw new Exception('Błąd uploadu: ' . $file['error']);
        }

        // 2. Walidacja rozmiaru
        if ($file['size'] > $this->maxSize) {
            throw new Exception('Plik za duży');
        }

        // 3. Walidacja rozszerzenia
        $extension = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
        if (!in_array($extension, $this->allowedExtensions)) {
            throw new Exception('Niedozwolone rozszerzenie');
        }

        // 4. Walidacja MIME (finfo)
        $finfo = new finfo(FILEINFO_MIME_TYPE);
        $mimeType = $finfo->file($file['tmp_name']);
        if (!in_array($mimeType, $this->allowedMimes)) {
            throw new Exception('Niedozwolony typ pliku');
        }

        // 5. Generowanie bezpiecznej nazwy
        $safeName = bin2hex(random_bytes(16)) . '.' . $extension;
        $targetPath = $this->uploadDir . $safeName;

        // 6. Przeniesienie pliku
        if (!move_uploaded_file($file['tmp_name'], $targetPath)) {
            throw new Exception('Nie udało się zapisać pliku');
        }

        return $safeName;
    }
}

// Użycie:
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $uploader = new SecureUploader();
    try {
        $filename = $uploader->upload($_FILES['userfile']);
        echo "Zapisano jako: " . htmlspecialchars($filename);
    } catch (Exception $e) {
        echo "Błąd: " . htmlspecialchars($e->getMessage());
    }
}

Warianty wymagan

Wymagania minimalne:

Wyjasnij jak działa upload (formularz, $_FILES)
Pokaz 1 schemat przepływu uploadu
Pokaz minimum 2 walidacje (rozmiar + rozszerzenie)

Ocena: 3.0 (minimum)

Pytania do dyskusji

Pytanie 1

Dlaczego nie można polegac na wartości $_FILES['type'] do walidacji typu pliku?

Pytanie 2

Jaka jest różnica miedzy przechowywaniem plikow wewnatrz i poza katalogiem webroot?

Pytanie 3

Jak zapobiec sytuacji, gdy dwoch użytkowników wysyła plik o tej samej nazwie?

Pytanie 4

Jakie dodatkowe zabezpieczenia można zastosowac przy uploadzie obrazkow?

Czeste błędy do unikania

Zasoby

PHP Manual: Handling file uploads Oficjalna dokumentacja uploadu plikow w PHP.

OWASP: File Upload Cheat Sheet Kompletny poradnik bezpiecznego uploadu od OWASP.

PHP: finfo class Dokumentacja klasy finfo do wykrywania typu MIME.

PortSwigger: File upload vulnerabilities Szczegółowy opis podatnosci zwiazanych z uploadem plikow.