$filename=$_FILES['file']['name'];
$type=$_FILES['file']['type'];
$extension=strtolower(substr($filename, strpos($filename, '.')+1));
$size=$_FILES['file']['size'];
if(($extension=='jpg' || $extension=='jpeg') && ($type!='image/jpg' || $type!='image/jpeg')){...
我有一个输入文件,可以让用户只上传jpg/jpeg图片,我有检查类型,扩展名,大小。PHP文件图片上传安全
但是我不知道如何检查,如果用户改变扩展(例如abc.php - > abc.jpg的)。
任何别的东西,我需要检查之前,我保存用户的图像到我的服务器?
可以与exif_imagetype()
http://www.php.net/manual/en/function.exif-imagetype.php
exif_imagetype()读取图像的第一字节,并且检查其签名 检查图像。
我会建议使用FINFO:从PHP文件的网站采取
<?php
$finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension
foreach (glob("*") as $filename) {
echo finfo_file($finfo, $filename) . "\n";
}
finfo_close($finfo);
/* outputs:
text/html
image/gif
application/vnd.ms-excel
*/
?>
例子。 查看更多关于php文档页面的信息http://www.php.net/manual/en/function.finfo-file.php
这是从文件本身以某种方式读取MIME类型,还是从用户的内容类型标题? – Katana314
@ Katana314是的,从文件中特定位置的字节序列请检查http://www.php.net/manual/en/intro.fileinfo.php:D及其要求:http://www.php.net /manual/en/book.fileinfo.php –
@Fabian的答案看起来不错,用于检查文件的类型。虽然我会建议采用不同的方法来获取文件的扩展名。
考虑一个名为stack.overflow.jpg的文件。
$filename = 'stack.overflow.jpg';
// With your code $extension = 'overflow.jpg'
$extension=strtolower(substr($filename, strpos($filename, '.') +1));
// With pathinfo() $extension = 'jpg'
$extension = pathinfo($filename, PATHINFO_EXTENSION);
考虑使用pathinfo()来获取文件扩展名:http://www.php.net/manual/en/function.pathinfo.php
可能重复(http://stackoverflow.com/questions/11061355/security-threats-with-uploads) – deceze
@deceze这是一个更具体的图像。有许多PHP函数对于这个问题是独一无二的,即exif_imagetype()和imagejpeg(),它们应该是唯一有利于这种情况的。 – XaxD
thx求救,我想我会用所有的函数来检查,万一发生什么事,看起来好像还有更多文章需要阅读... – Ben