SoL*_*oST 7 php file-upload mime-types
好的,我允许(在脚本中)通过论坛管理员定义的方法上传某些类型的文件!如何判断这些文件是否为管理员设置的类型以确保它们不是假文件.我目前正在使用mime类型的方法,但不同的浏览器可以设置不同的mime类型,所以这并没有多大帮助.检查文件扩展名也没有帮助,因为人们可以通过给它一个允许的扩展名来解决这个问题,但是文件类型可能不同.
也许有一种方法可以检查许多不同类型文件中的字节,以确保它的类型正确?也许这也可以伪造,但至少在使用表单上传文件并提交它们时会更准确一些.
有人可以帮我解决这个问题吗?
谢谢 :)
PECLfileinfo(或内置 >5.3)将检查文件的字节签名以猜测其 mime 类型,因此它可以防止人们简单地更改文件扩展名。在某些情况下,仍然可能在与文件类型的适当字节签名匹配的文件中包含恶意字节。
来自 PHP 文档:
// Procedural style
$finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension
echo finfo_file($finfo, $filename);
finfo_close($finfo);
// OO style
$finfo = new finfo(FILEINFO_MIME_TYPE);
echo $finfo->file($filename);
$finfo->close();
在 Unix 服务器上,我相信finfo_file()与 GNU 实用程序查阅相同的字节签名数据库file。
| 归档时间: |
|
| 查看次数: |
146 次 |
| 最近记录: |