欢迎来到雄杰鑫电商资讯网
技术教程

PHP文件名替换怎么弄_替换前校验文件名合法性【校验】

絕刀狂花 次阅读
必须校验路径遍历字符(..、/、\)、空字节与控制字符(\x00-\x1F等)、Windows保留名(CON、AUX等)、非法文件系统字符(: " | ? *等)及编码合法性,再清洗重命名。

PHP 中替换文件名前必须校验哪些字符

直接 rename() 会导致失败甚至安全风险,比如传入 ../etc/passwd 或空字节 \0。PHP 不会自动过滤路径遍历或非法字符,得自己拦住。

  • 禁止路径遍历:../\(Windows 下反斜杠也要处理)
  • 禁止控制字符和空字节:\0 及 ASCII 0–31 范围内的字符
  • 禁止系统保留名(Windows):CONAUXNUL 等(不区分大小写)
  • 避免文件系统不支持的字符:如 : " | ? *(Windows),部分 Linux 文件系统也不建议用 /\0

preg_replace() 清洗文件名的常见误区

很多人只留字母数字下划线,但这样会丢失中文、emoji、带重音符号的字母(比如 café.jpg)。更合理的做法是「白名单宽松 + 黑名单严格」。

  • 先移除所有控制字符:preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]/', '', $filename)
  • 再过滤路径分隔符和保留名:str_replace(['/', '\\', '..'], '_', $clean)(注意不是正则,简单替换更安全)
  • 最后统一编码检查(推荐 UTF-8):mb_check_encoding($clean, 'UTF-8'),非 UTF-8 则拒绝或转码

完整校验 + 安全重命名示例

以下函数返回清洗后的合法文件名,或 false 表示校验失败。它不执行重命名,只负责把输入“变成能用的”。

function sanitize_filename(string $input): ?string
{
    // 移除控制字符和空字节
    $clean = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]/', '', $input);
    if ($clean === null || $clean === '') {
        return null;
    }

// 检查是否为 UTF-8
if (!mb_check_encoding($clean, 'UTF-8')) {
    return null;
}

// Windows 保留名(不区分大小写)
$reserved = ['CON', 'PRN', 'AUX', 'NUL', 'COM1', 'COM2', 'COM3', 'COM4', 'COM5', 'COM6', 'COM7', 'COM8', 'COM9', 'LPT1', 'LPT2', 'LPT3', 'LPT4', 'LPT5', 'LPT6', 'LPT7', 'LPT8', 'LPT9'];
$basename = pathinfo($clean, PATHINFO_FILENAME);
if (in_array(strtoupper($basename), $reserved, true)) {
    return null;
}

// 替换非法字符为下划线,但保留中文、字母、数字、常见符号(. - _ ~)
$clean = preg_replace('/[^a-zA-Z0-9\x{4e00}-\x{9fff}\x{3400}-\x{4dbf}\x{20000}-\x{2a6df}\x{2a700}-\x{2b73f}\x{2b740}-\x{2b81f}\x{2b820}-\x{2ceaf}\.\-_~]/u', '_', $clean);

// 去掉首尾及连续下划线,不允许以点开头(防止隐藏文件误判)
$clean = trim($clean, '_.');
$clean = preg_replace('/_{2,}/', '_', $clean);
if ($clean === '' || $clean[0] === '.') {
    return null;
}

return $clean;
}


// 使用示例
$original = "test.php\x00.jpg";
$safe_name = sanitize_filename($original);
if ($safe_name !== null) {
$old_path =
 '/var/www/uploads/' . basename($original);
$new_path = '/var/www/uploads/' . $safe_name;
if (rename($old_path, $new_path)) {
echo "已重命名为: " . htmlspecialchars($safe_name) . "";
}
}



为什么不能只靠 basename()pathinfo()



这两个函数只拆路径,不校验内容合法性。比如 basename("../../../etc/passwd") 返回 passwd,看似安全,但如果你拼接时用了原始输入(如 $dir . '/' . $_POST['name']),就立刻中招。


    

  • 
basename() 不过滤空字节、控制字符、Windows 保留名
    • 

  • 它对 file.txt\0.jpg 这类截断攻击完全无感
    • 

  • 真正安全的做法是:先清洗字符串,再生成完整路径,最后用 realpath() + is_file() 确认目标在预期目录内
    • 



校验逻辑本身不难,难的是想到所有边界——比如上传表单里用户填了个 CON.PHP,Windows 下连 fopen() 都会静默失败;又比如没过滤 \r\n,日志里就多出意外换行。别省那几行校验代码。






            
 windows linux 为什么 html 的是 很多人 如果你 也不 也要 移除 php win 编码 NULL 字符串 if 下划线 echo 字节 ASCII var fopen 文件系统 遍历 lsp 黑名单 重命名

相关文章

按ESC键退出。