International PHP Conference 2015

Dosya Sistemi Güvenliği


PHP, çoğu sunucu sisteminde bulunan dizin ve dosya erişim izinleri ile ilgili yerleşik güvenlik önlemlerinden etkilenir. Bu izinlerle dosya sisteminden kimin hangi dosyaları okuyabileceğini denetleyebilirsiniz. Dosya sistemine erişimi olan tüm kullanıcıların sadece herkesçe okunabilen dosyaları okuyabilmesini sağlamalısınız.

PHP, dosya sistemine kullanıcı seviyesinde düşük seviyeli erişime izin verecek şekilde tasarlandığından, /etc/passwd gibi sistem dosyalarını okumak, eternet bağlantılarını değiştirmek, yazıcılara iş göndermek ve benzerleri tamamen mümkündür. Bu durum sizin bazı önlemler almanızı gerektirir; dosyaları kimlerin okuyabileceğine ve kimlerin yazabileceğine karar vermeniz gerekir.

Örneğin, aşağıdaki betiği ele alalım. Kullanıcı, ev dizinindeki bazı dosyaları silmek istiyor olsun. Bir sayfanın, kullanıcının ev dizinindeki bazı dosyaları Apache kullanıcısına sildirmek için bir arayüz olarak kullanıldığını varsayalım.

Örnek 1 - Değişkenler başınıza iş açabilir...

// Kullanıcının ev dizininden bir dosya silelim
$kullanıcı $_POST['kullanıcının_belirttiği_isim'];
$kullanıcı_dosyası $_POST['kullanıcının_belirttiği_dosyaismi'];
$evdizini  "/home/$kullanıcı";


"Dosya silindi!";
Birine ait bir kullanıcı ve dosya ismi bir formdan gönderilebileceğinden bunu yapmaya izni olmayan biri bile bu betikle dosya silebilir. Bu durumda kimlik doğrulaması yapabilen bir betik kullanmak daha iyi olabilir. Birinin formu kullanarak "../etc/" ve "passwd" girdiğini varsayalım ve betikte neler oluyor bakalım:

Örnek 2 ... Bir dosya sistemi saldırısı

// PHP kullanıcısının erişebildiği bir yerden bir dosyayı silelim.
// PHP root yetkilerine sahip olsun.
$kullanıcı $_POST['kullanıcının_belirttiği_isim']; // "../etc"
$kullanıcı_dosyası $_POST['kullanıcının_belirttiği_dosyaismi']; // "passwd"
$evdizini  "/home/$kullanıcı"// "/home/../etc"

unlink("$evdizini/$kullanıcı_dosyası"); // "/home/../etc/passwd"

echo "Dosya silindi!";
Bu saldırıyı önlemek için dikkate alacağınız iki ölçüt vardır.
  • PHP çalıştırılabilirini çalıştıran kullanıcının izinlerini sınırlamak.
  • Form ile gönderilen tüm değişkenleri denetlemek.
Düzeltilmiş betik:

Örnek 3 - Daha güvenilir bir dosya silme betiği

// PHP kullanıcısının erişebildiği bir dosyayı silelim.
$kullanıcı $_SERVER['REMOTE_USER']; // kimlik doğrulaması yapıyoruz
$dosya basename($_POST['kullanıcının_belirttiği_dosyaismi']);
$evdizini  "/home/$kullanıcı";

$dosyayolu "$evdizini/$dosya";

if (
file_exists($dosyayolu) && unlink($dosyayolu)) {
$günce "$dosyayolu silindi\n";
} else {
$günce "$dosyayolu silinemedi\n";
$dt fopen("/home/logging/filedelete.log""a");


Ancak, bu bile kusurları örtmeye yetmez. Eğer kimlik doğrulama sisteminiz kullanıcıya kendi ev dizinini belirtmesine izin veriyorsa ve kullanıcı "../etc/" dizinine oturum açmayı istiyorsa sistem hala tehdit altında demektir. Bu nedenle, sınanacak noktaları genişletmelisiniz:

Örnek 4 - Daha da güvenilir bir dosya silme betiği

$_SERVER['REMOTE_USER']; // kimlik doğrulaması yapıyoruz
$dosya $_POST['kullanıcının_belirttiği_dosyaismi'];
$evdizini  "/home/$kullanıcı";

$dosyayolu "$evdizini/$dosya";

if (!
ctype_alnum($kullanıcı) ||
preg_match('/^(?:[a-z0-9_-]|\.(?!\.))+$/iD'$dosyayolu)) {
"Kullanıcı veya dosya ismi hatalı");


Kullandığınız işletim sistemine bağlı olarak, dikkate alacağınız geniş bir dosya isimleri yelpazesi vardır: aygıt dosyaları (/dev/ veya COM1 gibi), yapılandırma dosyaları (/etc/ ve .ini dosyaları), bildik saklama alanları (/home/, My Documents), vb. Bu nedenle, açıkça izin verilenler dışında kalan herşeyi yasaklamak en kolayıdır.

add a note add a note

User Contributed Notes 10 notes

9 years ago
(A) Better not to create files or folders with user-supplied names. If you do not validate enough, you can have trouble. Instead create files and folders with randomly generated names like fg3754jk3h and store the username and this file or folder name in a table named, say, user_objects. This will ensure that whatever the user may type, the command going to the shell will contain values from a specific set only and no mischief can be done.

(B) The same applies to commands executed based on an operation that the user chooses. Better not to allow any part of the user's input to go to the command that you will execute. Instead, keep a fixed set of commands and based on what the user has input, and run those only.

For example,
(A) Keep a table named, say, user_objects with values like:
username|chosen_name   |actual_name|file_or_dir
jdoe    |trekphotos    |m5fg767h67 |D
jdoe    |notes.txt     |nm4b6jh756 |F
tim1997 |_imp_ folder  |45jkh64j56 |D

and always use the actual_name in the filesystem operations rather than the user supplied names.

= $_POST['op'];//after a lot of validations
$dir = $_POST['dirname'];//after a lot of validations or maybe you can use technique (A)
mail("", "Mischief", $_SERVER['REMOTE_ADDR']." is probably attempting an attack.");
fmrose at ncsu dot edu
9 years ago
All of the fixes here assume that it is necessary to allow the user to enter system sensitive information to begin with. The proper way to handle this would be to provide something like a numbered list of files to perform an unlink action on and then the chooses the matching number. There is no way for the user to specify a clever attack circumventing whatever pattern matching filename exclusion syntax that you may have.

Anytime you have a security issue, the proper behaviour is to deny all then allow specific instances, not allow all and restrict. For the simple reason that you may not think of every possible restriction.
devik at cdi dot cz
14 years ago
Well, the fact that all users run under the same UID is a big problem. Userspace  security hacks (ala safe_mode) should not be substitution for proper kernel level security checks/accounting.
Good news: Apache 2 allows you to assign UIDs for different vhosts.
eLuddite at not dot a dot real dot addressnsky dot ru
14 years ago
I think the lesson is clear:

(1) Forbit path separators in usernames.
(2) map username to a physical home directory - /home/username is fine
(3) read the home directory
(4) present only results of (3) as an option for deletion.

I have discovered a marvelous method of doing the above in php but this submission box is too small to contain it.

Latchezar Tzvetkoff
6 years ago
A basic filename/directory/symlink checking may be done (and I personally do) via realpath() ...


if (isset($_GET['file'])) {
$base = '/home/polizei/public_html/'// it seems this one is good to be realpath too.. meaning not a symlinked path..
if (strpos($file = realpath($base.$_GET['file']), $base) === 0 && is_file($file)) {
    } else {
13 years ago
when using Apache you might consider a apache_lookup_uri on the path, to discover the real path, regardless of any directory trickery.
then, look at the prefix, and compare with a list of allowed prefixes.
for example, my source.php for my website includes:
if(isset($doc)) {
    $apacheres = apache_lookup_uri($doc);
    $really = realpath($apacheres->filename);
    if(substr($really, 0, strlen($DOCUMENT_ROOT)) == $DOCUMENT_ROOT) {
        if(is_file($really)) {
hope this helps
1 at 234 dot cx
10 years ago
I don't think the filename validation solution from Jones at partykel is complete.  It certainly helps, but it doesn't address the case where the user is able to create a symlink pointing from his home directory to the root.  He might then ask to unlink "foo/etc/passwd" which would be in his home directory, except that foo is a symlink pointing to /.

Personally I wouldn't feel confident that any solution to this problem would keep my system secure.  Running PHP as root (or some equivalent which can unlink files in all users' home directories) is asking for trouble.

If you have a multi-user system and you are afraid that users may install scripts like this, try security-enhanced Linux.  It won't give total protection, but it at least makes sure that an insecure user script can only affect files which the web server is meant to have access to.  Whatever script someone installs, outsiders are not going to be able to read your password file---or remove it.
steelchords at yahoo dot com
8 years ago
It seems to me in this particular instance that a simple check to make sure that name or partial pathname doesn't already exist would prevent this attack... if a 'passwd/etc/...' existed as the password directory, you couldn't create a username to exploit the hole in the first place.  But that's only from a 'script user' perspective, it still doesn't protect your server from other sub-admin's badly written code.

Don For
joshudson';DROP TABLE EMAILS;'
10 years ago
I keep application configuration files in the document root. I found the most effective trick to prevent access to them is to
1. Give them no code that actually runs when included (except for variable assignments),
2. Don't use register globals so nobody can do anything weird,
3. Name them *.php so PHP runs them when asked for
4. Don't have anything before <?php
5. Don
't have a ?>
akul at inbox dot ru
11 years ago
Common and simple way to avoid path attack is separating objectname and filesystem space when possible. For example if I have users on my site and directory per user solution is not "httpdocs/users/$login", but "httpdocs/users/".md5($login) or "httpdocs/users/".$userId
To Top