Ali*_*xel 3 php apache security webserver file-upload
为了在文件上传中验证允许的mime类型,我通常依赖于fileinfo扩展,但由于该扩展或魔术数据库并不总是可用,我使用index与$_FILES超全局上的每个文件相关联的类型.
所以我的问题是,这个指数来自哪里?我怀疑它或者来自浏览器(如果是这种情况可以伪造),或者很可能来自Web服务器(或PHP) - 如果是这种情况:它只是mime类型映射的扩展或者这是真的吗?
它是浏览器通过解释文件扩展名提供的文件的MIME类型.所以你是对的,这可以由客户来锻造.