这里不仅仅是编码问题,而是与安全性有关的一般性问题.
我目前正在开发一个允许用户提交内容的项目.
该内容的关键部分是用户上传Zip文件.
zip文件应该只包含mp3文件.
我目前正在开发一个允许用户提交内容的项目.
该内容的关键部分是用户上传Zip文件.
zip文件应该只包含mp3文件.
然后我将这些文件解压缩到服务器上的目录,以便我们可以在网站上传输音频供用户收听.
我担心的是,这会打开一些可能具有破坏性的zip文件.
我过去读过’zipbombs’,显然不希望恶意zip文件造成损坏.
那么,有没有一种安全的方法呢?
我可以扫描zip文件而不先解压缩,如果它包含MP3以外的任何内容,请删除它或向管理员发出警告?
如果它有所作为我正在wordpress上开发网站.
我目前使用wordpress的内置上传功能让用户将zip文件上传到我们的服务器(我不确定wordpress中是否有任何形式的安全性来扫描zip文件?)
代码,只从zip中提取MP3,忽略其他内容
$zip = new ZipArchive(); $filename = 'newzip.zip'; if ($zip->open($filename)!==TRUE) { exit("cannot open <$filename>\n"); } for ($i=0; $i<$zip->numFiles;$i++) { $info = $zip->statIndex($i); $file = pathinfo($info['name']); if(strtolower($file['extension']) == "mp3") { file_put_contents(basename($info['name']),$zip->getFromIndex($i)); } } $zip->close();
我会使用像id3_get_version(http://www.php.net/manual/en/function.id3-get-version.php)这样的东西来确保文件的内容也是mp3