当前位置:Gxlcms > PHP教程 > 如何判断浏览器上传文件的真实类型?

如何判断浏览器上传文件的真实类型?

时间:2021-07-01 10:21:17 帮助过:41人阅读

比如用户要上传一个图片,你怎么知道用户上传的是不是一个图片呢?

  1. 后缀名显然不可靠,最容易伪造
  2. 表单里的mime信息也不可靠,所有的表单信息都可以伪造

我如何判断它的类型呢?需要去解析这个二进制文件吗?

回复内容:

比如用户要上传一个图片,你怎么知道用户上传的是不是一个图片呢?

  1. 后缀名显然不可靠,最容易伪造
  2. 表单里的mime信息也不可靠,所有的表单信息都可以伪造

我如何判断它的类型呢?需要去解析这个二进制文件吗?

用户发过来的就这些东西,除了解析二进制文件你没别的办法了,即便是解析二进制文件其实也有可能受骗,可以拿来越狱iPhone的PDF都曾经存在过。

很多事你没法做到绝对,一句话,尽人事安天命吧。

如果是图片可以通过 getimagesize() 获取图片的 mime,这样便不依赖
普通文件可以通过:
1. finfo 扩展
2. mime_content_type()
3. 调用linux命令 exec("file -bi ".escapeshellarg($this->file_src_pathname))来检测
选择合适的一种检测文档类型已经够用了。
图片上传的安全性主要在下载展示的时候,如果它是一段脚本伪造成image/jpg,浏览器会将其解释为html而不是图片,从而执行非法脚本。以上检测手段可以避免这种情况

最简易又相对比较安全的方法是验证文件的signature信息了。

PHP参考:http://www.codecto.com/article/4.html

人气教程排行