PHP 遵從大多數(shù)服務器系統(tǒng)中關于文件和目錄權(quán)限的安全機制。這就使管理員可以控制哪些文件在文件系統(tǒng)內(nèi)是可讀的。必須特別注意的是全局的可讀文件，并確保每一個有權(quán)限的用戶對這些文件的讀取動作都是安全的。

PHP 被設計為以用戶級別來訪問文件系統(tǒng)，所以完全有可能通過編寫一段 PHP 代碼來讀取系統(tǒng)文件如 /etc/passwd，更改網(wǎng)絡連接以及發(fā)送大量打印任務等等。因此必須確保 PHP 代碼讀取和寫入的是合適的文件。

請看下面的代碼，用戶想要刪除自己主目錄中的一個文件。假設此情形是通過 web 界面來管理文件系統(tǒng)，因此 Apache 用戶有權(quán)刪除用戶目錄下的文件。

Example #1 不對變量進行安全檢查會導致……

<?php // 從用戶目錄中刪除指定的文件 $username = $_POST[’user_submitted_name’]; $userfile = $_POST[’user_submitted_filename’]; $homedir = '/home/$username'; unlink ('$homedir/$userfile'); echo 'The file has been deleted!';?>

既然 username 和 filename 變量可以通過用戶表單來提交，那就可以提交別人的用戶名和文件名，甚至可以刪掉本來不應該讓他們刪除的文件。這種情況下，就要考慮其它方式的認證。想想看如果提交的變量是“../etc/”和“passwd”會發(fā)生什么。上面的代碼就等同于：

Example #2 ……文件系統(tǒng)攻擊

<?php // 刪除硬盤中任何 PHP 有訪問權(quán)限的文件。如果 PHP 有 root 權(quán)限： $username = $_POST[’user_submitted_name’]; // '../etc' $userfile = $_POST[’user_submitted_filename’]; // 'passwd' $homedir = '/home/$username'; // '/home/../etc' unlink('$homedir/$userfile'); // '/home/../etc/passwd' echo 'The file has been deleted!';?>

有兩個重要措施來防止此類問題。

下面是改進的腳本：

Example #3 更安全的文件名檢查

<?php // 刪除硬盤中 PHP 有權(quán)訪問的文件 $username = $_SERVER[’REMOTE_USER’]; // 使用認證機制 $userfile = basename($_POST[’user_submitted_filename’]); $homedir = '/home/$username'; $filepath = '$homedir/$userfile'; if (file_exists($filepath) && unlink($filepath)) {$logstring = 'Deleted $filepathn'; } else {$logstring = 'Failed to delete $filepathn'; } $fp = fopen('/home/logging/filedelete.log', 'a'); fwrite ($fp, $logstring); fclose($fp); echo htmlentities($logstring, ENT_QUOTES);?>

然而，這樣做仍然是有缺陷的。如果認證系統(tǒng)允許用戶建立自己的登錄用戶名，而用戶選擇用“../etc/”作為用戶名，系統(tǒng)又一次淪陷了。所以，需要加強檢查：

Example #4 更安全的文件名檢查

<?php $username = $_SERVER[’REMOTE_USER’]; // 使用認證機制 $userfile = $_POST[’user_submitted_filename’]; $homedir = '/home/$username'; $filepath = '$homedir/$userfile'; if (!ctype_alnum($username) || !preg_match(’/^(?:[a-z0-9_-]|.(?!.))+$/iD’, $userfile)) {die('Bad username/filename'); } //后略……?>

根據(jù)操作系統(tǒng)的不同，存在著各種各樣需要注意的文件，包括聯(lián)系到系統(tǒng)的設備（/dev/ 或者 COM1）、配置文件（/ect/ 文件和 .ini文件）、常用的存儲區(qū)域（/home/ 或者 My Documents）等等。由于此原因，建立一個策略禁止所有權(quán)限而只開放明確允許的通常更容易些。