Hap*_*per 8 php security upload
$_FILES上传图片时可以信任文件类型吗?或者我必须再次检查exif_imagetype()?
不,你不能相信$_FILES['userfile']['type']变量.此变量中存在的值可以伪造.您可以使用finfo_file更可靠地检测文件类型:
$finfo = finfo_open(FILEINFO_MIME_TYPE); // we need mime type
echo finfo_file($finfo, "/path/to/uploaded/file"); // displays something like image/gif
finfo_close($finfo);
这些函数需要PHP> = 5.3.0.