php – 如何以文件方式确定文件的真实扩展名？

您将需要读取每个文件的前几个字节,并将其解释为有限集合的已知文件类型的标题.大多数文件具有不同的文件头,在前几个字节中的某种元数据或MP3的情况下的前几个千字节.

您的程序将不得不简单地尝试解析每个接受的文件类型的文件.

对于我的程序,我将上传的图像发送到try-catch块中的imagemagick,如果它被炸毁,那么我猜这是一个坏的形象.这应该被认为是不安全的,因为我正在加载任意(用户提供的)二进制数据到一个外部程序,这通常是一个攻击向量.在这里,我相信imageMagick对我的系统不做任何事情.

我建议为您打算使用的重要文件类型编写自己的处理程序,以避免任何攻击向量.

编辑：我在PHP中看到有一些工具可以为您做这个.

此外,MIME类型是用户浏览器声称该文件是什么.在代码中阅读并对其进行操作非常有用,但它并不是一种安全的方法,因为任何发送坏文件的人都会轻松地伪造MIME标题.它是一种前线防御,以保持您的代码期望JPEG在PNG上禁止,但如果有人将病毒嵌入到.exe并将其命名为JPEG,则没有理由不欺骗MIME类型.