好的,我允许(在脚本中)通过论坛管理员定义的方法上传某些类型的文件!如何判断这些文件是否为管理员设置的类型,以确保它们不是假文件.我目前正在使用mime类型的方法,但不同的浏览器可以设置不同的mime类型,所以这并没有多大帮助.检查文件扩展名也没有帮助,因为人们可以通过给它一个允许的扩展名来解决这个问题,但是文件类型可能不同.
也许有一种方法可以检查许多不同类型文件中的字节,以确保它的类型正确?也许这也可以伪造,但至少在使用表单上传文件并提交它们时会更准确一些.
有人可以帮我解决这个问题吗?
谢谢 :)
PECL
原文链接:https://www.f2er.com/php/134084.htmlfileinfo(或内置的> 5.3)将检查文件的字节签名以猜测它们的mimetypes,因此它可以防止人们只是更改文件扩展名.在某些情况下,仍然可以在文件中包含恶意字节,该文件与文件类型的相应字节签名匹配.
从PHP文档:
// Procedural style $finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension echo finfo_file($finfo,$filename); finfo_close($finfo); // OO style $finfo = new finfo(FILEINFO_MIME_TYPE); echo $finfo->file($filename); $finfo->close();
