上传中Mimetypes的可靠性(PHP)

前端之家收集整理的这篇文章主要介绍了上传中Mimetypes的可靠性(PHP)前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一段时间有这个问题:文件的mime类型究竟是如何确定的?我相信这是通过检查文件的特定字节是否包含任何已知的 magic numbers/ file signatures来完成的,对吧?

如果是这样,这就提出了另一个问题,假设我将带有假GIF文件签名的bash脚本上传到只允许上传图像的网站,将会发生什么?或者:

> mimetype检测程序足够智能,可以检测假签名,或者
> image / gif错误地返回为mimetype并允许继续上传

我没有安装ATM的HEX编辑器,我不喜欢从测试中得出与安全相关的结论,因为我可能会错过(或误解)某些内容,所以我的问题是:上述哪一个选项是正确的?

此外,还有其他最佳实践(除了检查mimetype)以确保任何给定的文件实际上是它看起来/需要(或被允许)的内容吗?提前致谢.

PS:为了清楚起见,我不是在询问$_FILES超全局中的类型索引.

我的理解是文件上传代码中的MIME确定例程非常粗糙,并且$_FILES数组中的MIME类型根本不可信.根据我的经验,它很容易被吓倒.

您最好使用Fileinfo库,它提供更强大的文件类型检测.

http://www.php.net/manual/en/ref.fileinfo.php

猜你在找的PHP相关文章