web后端

PHP基础与文件上传安全核心知识总结

一、PHP核心基础

1. PHP本质：全称超文本预处理器，服务器端开源脚本语言，专为Web开发设计，仅在服务器运行，用户仅能看到运行结果，无法获取源码；是网站的「后台大脑」，负责处理登录验证、文件上传、数据库操作、请求响应等核心业务逻辑，与负责前端展示的HTML/CSS/JS分工明确。

2. 网安必学PHP的原因：市场占比极高（国内80%以上中小型网站基于PHP开发），是漏洞重灾区；不懂PHP无法理解Web漏洞底层原理与利用方式；PHP语法简单，是网安入门最友好的后端语言，仅学网安相关基础即可满足渗透测试需求。

3. 核心语法

   • 变量：以$开头，区分大小写，无需提前声明类型；网安常用变量为文件上传相关的$upload_dir（保存目录）、$file_name（文件名）、$file_path（完整路径）。

   • 字符串拼接：使用英文点号.，是文件上传漏洞的核心语法，攻击者可通过篡改文件名拼接出合法恶意文件路径。

   • 超全局变量：PHP官方内置的大写数组，可在代码任意位置使用，是后端接收前端参数的唯一方式，也是所有Web漏洞的「数据入口」；必学3个核心超全局变量：

     • $_FILES：文件上传专属，接收上传文件所有信息，$_FILES['file']['name']（原始文件名，攻击者可篡改，漏洞核心利用点）、$_FILES['file']['tmp_name']（临时路径/文件名，PHP自动生成，不可篡改，PHP安全机制）是网安必记属性；

     • $_GET：接收GET请求参数，参数在URL中可见，适用于非敏感查询；

     • $_POST：接收POST请求参数，参数藏在请求体中，适用于登录、文件上传等敏感/大数据量操作，WebShell代码100%会用到。

二、文件上传完整流程

文件上传是网站通用功能，全流程分4步，仅第4步由PHP代码决策，是漏洞唯一产生环节，可用「寄快递」类比：

1. 用户选文件：整理文件基本信息，类似「填快递单」；

2. 浏览器打包：以二进制数据包通过POST请求发送（GET请求有数据量限制，POST是文件上传唯一方式），类似「发货」；

3. 服务器接收：将文件存入临时目录，PHP自动生成临时文件名（$_FILES['file']['tmp_name']），临时文件为一次性，脚本执行后自动删除，类似「存入临时仓库」；

4. PHP代码决策（核心）：PHP决定是否接收文件、保存目录、文件命名，最终调用move_uploaded_file()函数将临时文件搬运至指定目录，完成上传。

   • 核心函数move_uploaded_file()：语法为move_uploaded_file(临时文件路径, 目标保存路径)；是安全函数，仅能搬运POST上传的临时文件，无过滤特性，仅做「搬运工」，漏洞并非函数本身问题，而是PHP代码未在搬运前做过滤校验。

三、文件上传漏洞

1. 定义：网站PHP上传代码未对用户上传文件做严格过滤校验，导致攻击者将恶意PHP脚本伪装成合法文件（图片、文档等）成功上传并被服务器解析执行的高危漏洞。

2. 核心成因：唯一原因是后端PHP代码直接使用攻击者可控的原始文件名，未对上传文件做有效的过滤、校验，典型为无过滤上传代码，直接拼接路径并执行文件搬运。

3. 漏洞危害：Web安全中危害最高的漏洞之一，攻击者可上传恶意脚本，拿到服务器权限，控制网站/数据库，泄露/篡改用户数据，甚至控制服务器本身。

4. 核心利用条件（缺一不可）：恶意文件成功上传至服务器且知道完整访问地址（可访问）+ 文件存放目录被服务器配置PHP解析权限（可解析）；口诀：上传成功+可访问+可解析=漏洞利用成功。

5. 关键区分：上传成功≠漏洞成立；仅文件保存到服务器无解析执行，无实际危害；只有文件被服务器解析执行，才会导致服务器被控，漏洞真正成立。

四、WebShell

1. 定义：攻击者通过漏洞上传到服务器的、可被解析执行的、能远程控制服务器的PHP脚本文件，又称「网站后门」，是渗透测试中攻击服务器的核心「武器」。

2. 核心特点：本质是普通.php文件；非病毒/工具，仅含恶意执行逻辑；核心能力是接收攻击者远程指令并让服务器执行，实现远程控制。

3. 生效必备条件：与文件上传漏洞利用条件一致，成功上传+文件可访问+文件所在目录支持PHP解析。

4. 经典两种形态（必背，所有复杂WebShell的基础）

   • 代码执行型：<?php eval($_POST[123]); ?>；核心函数eval()，将接收的字符串当作PHP代码执行，仅能控制网站的PHP程序，操作数据库/文件等；

   • 系统命令型：<?php system($_POST[123]); ?>；核心函数system()，将接收的字符串当作服务器操作系统命令执行，可控制整个服务器，危害远高于代码执行型。

5. 核心原理：PHP代码将未做过滤的、攻击者可控的用户输入（$_POST接收的参数），直接当作合法的代码/命令执行，本质是服务器「盲目信任」攻击者输入。

五、核心关联与安全原则

1. WebShell与文件上传漏洞的关系：文件上传漏洞是「将武器送进服务器的通道」，WebShell是「攻击武器」；攻击者通过文件上传漏洞将WebShell上传至服务器，再通过访问WebShell实现远程控制，是渗透测试最经典的攻击链路。

2. 所有Web漏洞的根源：后端盲目信任用户输入，未对前端传递的参数做任何过滤、校验，直接使用/执行。

3. 核心安全原则：所有用户输入都不可信任，必须进行严格的校验与过滤，是防范文件上传、SQL注入、XSS等所有Web漏洞的基础。