如果是这样,这就提出了另一个问题,假设我将带有假GIF文件签名的bash脚本上传到只允许上传图像的网站,将会发生什么？或者：

> mimetype检测程序足够智能,可以检测假签名,或者
> image / gif错误地返回为mimetype并允许继续上传

我没有安装ATM的HEX编辑器,我不喜欢从测试中得出与安全相关的结论,因为我可能会错过(或误解)某些内容,所以我的问题是：上述哪一个选项是正确的？

此外,还有其他最佳实践(除了检查mimetype)以确保任何给定的文件实际上是它看起来/需要(或被允许)的内容吗？提前致谢.

PS：为了清楚起见,我不是在询问$_FILES超全局中的类型索引.