如何确定他们正在上传某些文件

2018-05-31 19:21:51

好的，我允许（在脚本内）通过论坛管理员定义的方法上传某些类型的文件！我如何知道这些文件是否属于管理员设置的类型，以确保它们不是假文件。我目前正在使用MIME类型的方法，但不同的浏览器可以设置不同的MIME类型，所以这并没有多大帮助。检查文件扩展名也没有帮助，因为人们可以通过给它一个允许的扩展名来解决这个问题，但是它会是不同的文件类型。

也许有一种方法可以检查许多不同类型文件中的字节，以确保它是正确的类型吗？也许这也可能是伪造的，但至少在使用表单上传文件和提交文件时会更加准确。

有人可以帮助我在这方面的想法吗？

谢谢：）

PECL fileinfo （或内置的> 5.3）将检查文件的字节签名以猜测它们的mimetypes，因此它可以防止人们简单地更改文件扩展名。在某些情况下，仍然可以在与文件类型的适当字节签名匹配的文件中包含恶意字节。

从PHP文档：

// Procedural style
$finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension
echo finfo_file($finfo, $filename);
finfo_close($finfo);

// OO style
$finfo = new finfo(FILEINFO_MIME_TYPE);
echo $finfo->file($filename);
$finfo->close();

在Unix服务器上，我相信finfo_file()和GNU file实用程序一样查询相同的字节签名数据库。

永远不要信任用户的输入。永远不要使用检查给定的filetype / mimetype作为防止用户将恶意内容上传到服务器的方式。如果目标是服务器安全，那么如果用户上传内容，则不要在服务器上执行内容。对于其他用户下载的文件，请务必声明该内容是由用户生成的，并且不保证无病毒。

链接地址: http://www.djcxy.com/p/7971.html

上一篇: How to be sure they are uploading certain files

下一篇: How to make boost::serialization deserialization faster?