如何检查上传文件的安全类型

Question

在php手册中说，$_FILES['userfile']['type']在客户端的控制下（所以也许它可以编辑，我猜）。

php manual.

$_FILES['userfile']['type']
的mime类型的文件，如果浏览器提供这个信息。
一个例子是“image/gif”。
然而，这种MIME类型在PHP方面没有被检查，因此不会将其值视为理所当然。

这：

您可以使用$_FILES['userfile']['type']变量扔掉不匹配某种类型标准的任何文件，但只把这个当作第一一系列的检查，因为这值完全在客户端的控制下，而不是在PHP端进行检查。

所以，我怎么可以检查，以防止有害的文件上传的文件类型上传？

Answer 1

正如你自己发现的，你应该彻底检查每个文件以避免安全问题。

主要取决于您想要允许的文件类型。我会走这两步：

1.检查内容类型。

这里没有什么可以添加的，你已经发布了在你的问题中做到这一点的方式。但是，这可能是假的，所以请不要忘记....

2.验证文件内容。

您应该仔细检查文件内容。如果你正在处理图像，你可以使用phps图像功能来保证安全。

例子：

$x = getimagesize($_FILES['uploadfile']['tmp_name']); 
if (isset($x)) { 
    if($x['mime'] != 'image/gif' && $x['mime'] != 'image/jpeg') { 
     echo 'Not a valid GIF or JPEG'; 
     exit(0); 
    } 
}