我有一段时间有这个问题:文件的mime类型究竟是如何确定的?我相信这是通过检查文件的特定字节是否包含任何已知的
magic numbers/
file signatures来完成的,对吧?
如果是这样,这就提出了另一个问题,假设我将带有假GIF文件签名的bash脚本上传到只允许上传图像的网站,将会发生什么?或者:
> mimetype检测程序足够智能,可以检测假签名,或者
> image / gif错误地返回为mimetype并允许继续上传
我没有安装ATM的HEX编辑器,我不喜欢从测试中得出与安全相关的结论,因为我可能会错过(或误解)某些内容,所以我的问题是:上述哪一个选项是正确的?
此外,还有其他最佳实践(除了检查mimetype)以确保任何给定的文件实际上是它看起来/需要(或被允许)的内容吗?提前致谢.
PS:为了清楚起见,我不是在询问$_FILES超全局中的类型索引.