php – 如何确保他们正在上传某些文件
发布时间:2020-12-13 17:56:58 所属栏目:PHP教程 来源:网络整理
导读:好的,我允许(在脚本中)通过论坛管理员定义的方法上传某些类型的文件!如何判断这些文件是否为管理员设置的类型,以确保它们不是假文件.我目前正在使用mime类型的方法,但不同的浏览器可以设置不同的mime类型,所以这并没有多大帮助.检查文件扩展名也没有帮助,因
|
好的,我允许(在脚本中)通过论坛管理员定义的方法上传某些类型的文件!如何判断这些文件是否为管理员设置的类型,以确保它们不是假文件.我目前正在使用mime类型的方法,但不同的浏览器可以设置不同的mime类型,所以这并没有多大帮助.检查文件扩展名也没有帮助,因为人们可以通过给它一个允许的扩展名来解决这个问题,但是文件类型可能不同.
也许有一种方法可以检查许多不同类型文件中的字节,以确保它的类型正确?也许这也可以伪造,但至少在使用表单上传文件并提交它们时会更准确一些. 有人可以帮我解决这个问题吗? 谢谢 :)
PECL fileinfo(或内置的> 5.3)将检查文件的字节签名以猜测它们的mimetypes,因此它可以防止人们只是更改文件扩展名.在某些情况下,仍然可以在文件中包含恶意字节,该文件与文件类型的相应字节签名匹配.
从PHP文档: // Procedural style $finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension echo finfo_file($finfo,$filename); finfo_close($finfo); // OO style $finfo = new finfo(FILEINFO_MIME_TYPE); echo $finfo->file($filename); $finfo->close(); 在Unix服务器上,我相信finfo_file()会查询与GNU文件实用程序相同的字节签名数据库. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |