php判断上传文件文件类型的安全方法
在使用 php 进行文件的上传和存储时,很多人都会给文件进行重名命并保存到可写文件夹下,然后我们在其中一个失误的地方便是采用上传文件的扩展名作为判断文件类型的依据。
这样做其实与后门大开无异,举一个简单的例子,通过扩展名判断一般是字符串的截取判断,或者是使用$_FILE数组判断,然后如果用户上传的文件名为 image.php.png, image.png.php, image.php%****.png 之类的话,判断就会出错。
另外,$_FILES['type']可能被篡改。
下面是我判断文件名的方法:
读取文件头四个字节作为判断。
下面直接上代码
我实现的是仅支持word和pdf文件,且文件大小小于512kb:
$tmpname = $_FILES ['userfile'] ['tmp_name'];
if(is_uploaded_file($tmpname)) {
$mimetype = detectMIME($tmpname);
$tuozhanming = getFileExt($filename, $mimetype);
if($tuozhanming == "type_error"){
echo '仅支持word和pdf文件,且文件大小小于512kb:<a href=".%24reurl.">请重试</a>';
exit();
}
}else{
$_FILES ['userfile'] ['error'] = 6;
}
if ($_FILES ['userfile'] ['error'] > 0) {
echo 'Problem: ';
switch ($_FILES ['userfile'] ['error']) {
case 1 :
echo '上传文件过大:<a href=".%24reurl.">请重试</a>';
break;
case 2 :
echo '上传文件过大:<a href=".%24reurl.">请重试</a>';
break;
case 3 :
echo '文件上传丢失:<a href=".%24reurl.">请重试</a>';
break;
case 4 :
echo '无文件被上传:<a href=".%24reurl.">请重试</a>';
break;
case 6 :
echo '仅支持word和pdf文件,且文件大小小于512kb:<a href=".%24reurl.">请重试</a>';
break;
case 7 :
echo '上传文件存储失败:<a href=".%24reurl.">请重试</a>';
break;
}
exit ();
}
//判断文件类型
//上传文件
$_FILES ['userfile'] ['name'] = time () . "." . $tuozhanming;
$upfile = '../uploads/' . $_FILES ['userfile'] ['name'];
if ( !move_uploaded_file ( $_FILES ['userfile'] ['tmp_name'], $upfile )) {
echo 'Problem: 文件移动失败';
exit ();
}
}
function detectMIME($filename) {
$file = fopen ( $filename, "rb" );
$finfo = finfo_open ( FILEINFO_MIME );
if (! $finfo) {
// 直接读取文件的前4个字节,根据硬编码判断
$file = fopen ( $filename, "rb" );
$bin = fread ( $file, 4 ); //只读文件头4字节
fclose ( $file );
$strInfo = @unpack ( "C4chars", $bin );
//dechex() 函数把十进制转换为十六进制。
$typeCode = dechex ( $strInfo ['chars1'] ) .
dechex ( $strInfo ['chars2'] ) .
dechex ( $strInfo ['chars3'] ) .
dechex ( $strInfo ['chars4'] );
$type = '';
switch ($typeCode) //硬编码值查表
{
case "504b34" :
$type = 'application/zip; charset=binary';
break;
case "d0cf11e0" :
$type = 'application/vnd.ms-office; charset=binary';
break;
case "25504446" :
$type = 'application/pdf; charset=binary';
break;
default :
$type = 'application/vnd.ms-office; charset=binary';
break;
}
} else {
//finfo_file return information of a file
$type = finfo_file ( $finfo, $filename );
}
return $type;
function getFileExt($filename, $type) {
switch ($type) {
case "application/zip; charset=binary" :
$extType = "docx";
break;
case "application/vnd.ms-office; charset=binary" :
$extType = "doc";
break;
case "application/msword; charset=binary" :
$extType = "doc";
break;
case "application/pdf; charset=binary" :
$extType = "pdf";
break;
default :
$extType = "type_error";
break;
}
return $extType;
}
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
熱門話題
實作Workerman文件中的文件上傳與下載
Nov 08, 2023 pm 06:02 PM
實現Workerman文件中的文件上傳與下載,需要具體程式碼範例引言:Workerman是一款高效能的PHP非同步網路通訊框架,具備簡潔、高效、易用等特點。在實際開發中,文件上傳和下載是常見的功能需求,本文將介紹如何使用Workerman框架實現文件的上傳和下載,並給出具體的程式碼範例。一、檔案上傳:檔案上傳是指將本機上的檔案傳輸至伺服器端的操作。下面是使用
如何利用Laravel實作檔案上傳與下載功能
Nov 02, 2023 pm 04:36 PM
如何利用Laravel實現文件上傳和下載功能Laravel是一個流行的PHPWeb框架,提供了豐富的功能和工具,使得開發Web應用程式更加簡單和有效率。其中一個常用的功能就是檔案上傳和下載。本文將介紹如何利用Laravel實作檔案上傳和下載功能,並提供具體的程式碼範例。文件上傳文件上傳是指將本機的文件上傳到伺服器上儲存。在Laravel中,我們可以使用檔案上傳
如何解決Java檔案上傳異常(FileUploadException)
Aug 18, 2023 pm 12:11 PM
如何解決Java檔案上傳異常(FileUploadException)上傳檔案在網路開發中經常會遇到的一個問題是FileUploadException(檔案上傳例外)。它可能會因各種原因而出現,例如檔案大小超過限制、檔案格式不符或伺服器配置不正確等。本文將介紹一些解決這些問題的方法,並提供相應的程式碼範例。限制上傳檔案的大小在大多數場景下,限製檔案大小
如何在 Golang 中使用 gRPC 實作檔案上傳?
Jun 03, 2024 pm 04:54 PM
如何使用gRPC實作檔案上傳?建立配套服務定義,包括請求和回應訊息。在客戶端,開啟要上傳的檔案並將其分成區塊,然後透過gRPC串流傳輸到服務端。在服務端,接收文件區塊並將其儲存到文件中。服務端在文件上傳完成後發送回應,指示上傳是否成功。
如何用PHP實作FTP檔案上傳進度條
Jul 30, 2023 pm 06:51 PM
如何用PHP實作FTP檔案上傳進度條一、背景介紹在網站開發中,檔案上傳是常見的功能。而對於大檔案的上傳,為了提高使用者體驗,我們常常需要向使用者顯示一個上傳進度條,讓使用者知道檔案上傳的進程。本文將介紹如何使用PHP實作FTP檔案上傳進度條的功能。二、FTP檔案上傳進度條的實現方法基本思路FTP檔案上傳的進度條實現,通常是透過計算上傳的檔案大小和已上傳檔案大小
Laravel中的文件上傳和處理:管理用戶上傳的文件
Aug 13, 2023 pm 06:45 PM
Laravel中的檔案上傳與處理:管理使用者上傳的檔案引言:在現代Web應用程式中,檔案上傳是很常見的功能需求。在Laravel框架中,文件上傳和處理變得非常簡單和有效率。本文將介紹如何在Laravel中管理使用者上傳的文件,包括文件上傳的驗證、儲存、處理和顯示。一、文件上傳文件上傳是指將文件從客戶端上傳到伺服器端。在Laravel中,檔案上傳非常容易處理。首先,
PHP檔案上傳指南:如何使用move_uploaded_file函數處理上傳文件
Jul 30, 2023 pm 02:03 PM
PHP檔案上傳指南:如何使用move_uploaded_file函數處理上傳檔案在開發網頁應用程式中,檔案上傳是常見的需求。 PHP提供了一個方便的函數move_uploaded_file(),用來處理上傳的檔案。本文將向您介紹如何使用這個函數來實作檔案上傳功能。一、準備工作在開始之前,請確保您的PHP環境已經配置了檔案上傳的參數。您可以透過打開php.in
用Golang函數簡化檔案上傳處理
May 02, 2024 pm 06:45 PM
答案:是,Golang提供的函數可以簡化檔案上傳處理。詳情:MultipartFile類型提供對文件元資料和內容的存取。 FormFile函數從表單請求中取得特定檔案。 ParseForm和ParseMultipartForm函數用於解析表單資料和多部分錶單資料。使用這些函數簡化了文件處理流程,讓開發者專注於業務邏輯。
