PHP でアップロードされたファイルの種類を確実に検証するにはどうすればよいですか?

PHP ファイル タイプの検証: 信頼できるソリューション

PHP では、アップロードされたファイル タイプを判断することは、適切な処理を保証するために非常に重要です。 $_FILES['fupload']['type'] を使用してイメージ タイプを検証するのは一般的な方法ですが、その制限事項を認識しておくことが重要です。

$_FILES['fupload' を使用する場合の欠点] ]['type']

に依存する場合の主な問題$_FILES['fupload']['type'] には、本質的に信頼できないユーザー定義の情報が含まれているということです。ユーザーはこの値を簡単に操作して、悪意のあるファイルを偽装できます。その結果、この方法のみに依存すると、セキュリティ上の脆弱性が生じる可能性があります。

信頼性の高いファイル タイプの検証

正確なファイル タイプの検証を保証するには、サーバーでの検証を実行することをお勧めします。側面の検証。 PHP には、この目的に使用できる信頼性の高い関数がいくつか用意されています。

1. exif_imagetype()

画像ファイル用に特別に設計された exif_imagetype() は、画像のヘッダーを検査し、検出されたタイプを表す定数を返します。この方法は、画像を検証する場合に堅牢かつ正確です。

例:

$allowedTypes = array(IMAGETYPE_PNG, IMAGETYPE_JPEG, IMAGETYPE_GIF);
$detectedType = exif_imagetype($_FILES['fupload']['tmp_name']);
$error = !in_array($detectedType, $allowedTypes);

2. finfo 関数 (サポートされている場合)

これらの PHP 関数は、ファイルの種類など、ファイルに関する詳細情報を提供できます。サーバーが finfo をサポートしている場合、これは exif_imagetype() の優れた代替手段です。

例:

$finfo = new finfo(FILEINFO_MIME);
$mimeType = $finfo->file($_FILES['fupload']['tmp_name']);
$error = $mimeType !== 'image/gif';

これらの信頼できる方法を利用することで、アップロードされたファイルを効果的にチェックできますを PHP で入力し、有効なファイルのみがアプリケーションによって受け入れられ、処理されるようにします。

以上がPHP でアップロードされたファイルの種類を確実に検証するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。