在早期的php版本中，上傳文件很可能是通過如下的代碼實現(xiàn)的：

......
if (isset($_files['file'])) {
$tmp_name = $_files['file']['tmp_name'];
}
if (file_exists($tmp_name)) {
copy($tmp_name,$destfile);
}
......

但是很可能會被偽造一個$_files['file']數(shù)組出來，如果tmp_name的內容會被指定為/etc/passwd等敏感信息的內容，那么很容易出現(xiàn)安全問題。php在后來的版本中用is_uploaded_file() 和 move_uploaded_file()解決了這個問題，用is_uploaded_file()不僅會檢查$_files['file']['tmp_name']是否存在，而且會檢查$_files['file']['tmp_name']是否是上傳的文件，這樣就使得偽造$_files變量變得不可能，因為腳本會在檢查到$_files['file']['tmp_name']不是php上傳的時候終止執(zhí)行。
偽造變得不可能了么？在很多的腳本里面我看到初試化部分就有@extract($_post)之類的操作，以保證程序在register globals為off的環(huán)境下能繼續(xù)運行，這樣的環(huán)境下我們很輕松可以偽造$_files數(shù)組，甚至將原來的$_files數(shù)組覆蓋，但是想完全的偽造一個$_files數(shù)組還是很困難的，因為你無法饒過is_uploaded_file() 和 move_uploaded_file()。但是在windows下的php環(huán)境下測試時，我們發(fā)現(xiàn)php的臨時文件很有規(guī)律，是c:/windows/temp/php93.tmp這種格式，上傳的時候文件名字會是c:/windows/temp/phpxxxxxx.tmp這種格式變化，其中xxxxxx是十六進制的數(shù)字，并且是按照順序增加的，也就是說如果這次上傳的臨時文件名是c:/windows/temp/php93.tmp，那么下次就會是c:/windows/temp/php94.tmp，臨時文件名變得有規(guī)律。但是我們可能不知道當前的文件名是什么，這可以通過php自身的錯誤機制泄露出來，譬如我們將臨時文件拷貝到一個沒有權限的目錄或者在目標文件里包含文件系統(tǒng)禁止的字符就可以將當前的臨時文件名字給泄露出來，當然前提是沒有錯誤抑制處理。
那么到底如何饒過is_uploaded_file() 和 move_uploaded_file()呢？看看php中is_uploaded_file()部分的代碼：

php_function(is_uploaded_file)
{
zval **path;
if (!sg(rfc1867_uploaded_files)) {
  return_false;
}
if (zend_num_args() != 1 || zend_get_parameters_ex(1, &path) != success) {
  zend_wrong_param_count();
}
convert_to_string_ex(path);
if (zend_hash_exists(sg(rfc1867_uploaded_files), z_strval_pp(path), z_strlen_pp(path)+1)) {
  return_true;
} else {
  return_false;
}
}

它是從當前的rfc1867_uploaded_files哈希表中查找看是否當前的文件名是否存在。其中rfc1867_uploaded_files保存了當前php腳本運行過程中由系統(tǒng)和php產生的有關文件上傳的變量和內容。如果存在，就說明指定的文件名的確是本次上傳的，否則為否。
php有個很奇怪的特性就是，當你提交一個上傳表單時，php在做處理之前這個文件就已經被上傳到臨時目錄下面，一直到php腳本運行結束的時候才會銷毀掉。也就是說，你即使向一個不接受$_filse變量的php腳本提交這樣一個表單，$_filse變量依然會產生，文件依然會被先上傳到臨時目錄。問題就產生了。下面的腳本可能能說明這個問題：

<?
$a=$_files['attach']['tmp_name'];
echo $a.".............";
$file='c://windows//temp//php95.tmp';
echo $file;
if(is_uploaded_file($file)) echo '..................yes';
?>

其中c://windows//temp//php95.tmp是我猜測的臨時文件名字，當時，測試這個腳本的時候我們需要向它上傳一個文件或者是100個文件，使得其中一個臨時文件名為c://windows//temp//php95.tmp。如果此刻腳本有extract操作，我們就可以很方便的偽造出一個$_files變量了。不是么？可能要問偽造$_files變量有什么作用，我們就可以產生原來程序不允許的文件名了，php在處理上傳的時候會對原來的文件名有一個類似于basename()的操作，但是一旦可以偽造之后我們就可以輕易的在文件名之內加/啊../啊等等你所喜歡的任何東西
實際利用可能有點苛刻，但是也總算是php一點瑕疵吧，呵呵。