视频文件上传环节,几乎是PHP开发中最容易引发安全漏洞的功能入口。许多开发者仍停留在“修改一下文件扩展名、检查一下$_FILES['type']就觉得万无一失”的阶段——坦白讲,这种做法无异于敞开大门让攻击者长驱直入。真正的风险控制,必须从文件落地的第一毫秒就启动异步审核机制,并将命令执行的风险彻底隔离。否则,你以为自己在防御外部攻击,其实只是麻痹了自己的安全警觉。
为什么不能轻信 $_FILES['video']['type'] 和文件扩展名
攻击者只需一个十六进制编辑器,改动几个字节,就能将一个PHP Webshell伪装成video/mp4格式。$_FILES['type']完全由浏览器端提交,根本不可信赖;.mov后缀也可以轻易伪装成video/quicktime。真实的MIME类型必须通过二进制文件头来精确识别。
- 务必调用
finfo_open(FILEINFO_MIME_TYPE)+finfo_file()实际读取文件前256字节进行判定。 - 坚决拒绝
application/x-php、text/plain、image/svg+xml等可能包含脚本或可执行代码的“伪装视频文件”。 - 即便
finfo返回了video/mp4,也必须立刻用 FFmpeg 探针验证其结构是否合法——执行ffmpeg -v error -i 'escapeshellarg($tmpPath)' -f null - 2>&1,如果返回码不为0,则基本可判定为恶意载荷。
如何安全触发云端审核并规避 exec 注入风险
审核任务必须采用异步执行方式,但在调用 exec()、shell_exec() 时如果拼接了用户可控的路径,就等同于为远程命令执行(RCE)留了后门。
- 所有传递给 FFmpeg 或外部命令的路径必须用
escapeshellarg()包裹,并且严禁任何用户输入参与构造命令字符串。 - 审核任务ID应由服务端自动生成(例如
bin2hex(random_bytes(16))),绝不能依赖$_FILES['name']或表单字段。 - 将文件路径、用户ID、时间戳等信息写入Redis队列,由独立的worker进程消费——worker不接收HTTP请求,不解析用户输入,天然免疫注入攻击。
- 切忌在上传响应中同步调用云端API:超时、网络抖动、限流都会导致用户界面卡死,并且可能暴露access key的安全风险。
截帧策略为何不能只写 fps=1
固定帧率截图会系统性地遗漏黑屏、静帧、闪白、场景切换等高危内容。审核平台即使返回“通过”,也不代表内容真正安全。
- 优先采用
-vf "select='gt(scene,0.4)'"提取场景变化帧,0.4是实测平衡阈值:低于0.3容易产生大量重复帧,高于0.5则会跳过快速转场画面。 - 对于短视频,额外增加一路
-skip_frame nokey强制提取关键帧,避免因I帧缺失导致花屏漏检。 - 每张截图生成后必须使用
getimagesize()进行校验,排除空文件、损坏JPEG、无像素数据等无效图片——否则调用审核API会直接返回InvalidImage错误。 - 截图命名禁用原始文件名,统一采用哈希前缀(例如
sha256_filepart_001.jpg),防止路径遍历或文件覆盖风险。
回调地址签名验证为何不可或缺
第三方审核服务(阿里云、腾讯云等)均采用异步HTTP回调机制,如果缺少签名验证,就等于允许任何人伪造“审核通过”的状态通知。
你必须确保两个条件同时成立:回调URL在公网可达(NAT/内网部署必须配置),并且每次回调请求都携带 HMAC-SHA256 签名,由PHP进行严格比对——使用 hash_equals() 防止时序攻击,切忌使用 == 比较。漏掉任意一环,攻击者只需发送一个POST请求即可绕过全部风控机制。
