当我尝试处理文件上传时,应该根据文件MIME类型还是文件扩展名进行验证?
什么是优点这两种文件验证的缺点?
而且,我应该关心什么其他安全问题?
在这些日子里,我依靠MIME类型,但是在这篇文章中大多数投票的答案
Never rely on the MIME type submitted by the browser!
好吧,所有这些在这里的传奇人物都有一些关于“螺丝扩展,检查MIME!FILEINFO RLZ!”的内容,我已经准备了一些教程:
原文链接:https://www.f2er.com/php/131545.html>下载此pretty php logo I drew
>查看不错,不是吗?
>将其重命名为whatever_you_like.PHP
通过所有你真棒的mime类型/任何检查器
>运行它
总而言之,你永远不会依赖于MIME类型.你的Web服务器不关心MIME类型,它决定了EXTENSION做什么,最终被downvoted的@Col. Shrapnel的答案其实是正确的.检查MIME所提供的任何信息在执行时绝对与您的网络服务器无关.
编辑:这个不寻常的代码,就像你想要的那样,为这种类型的攻击打开一个网站:
<?PHP $mimetype = mime_content_type($_FILES['file']['tmp_name']); if(in_array($mimetype,array('image/jpeg','image/gif','image/png'))) { move_uploaded_file($_FILES['file']['tmp_name'],'/whatever/something/imagedir/' . $_FILES['file']['name']); echo 'OK'; } else { echo 'Upload a real image,jerk!'; }
