我们可以在PHP中读取文件的头信息来确定上传的文件类型吗?
我不想依赖$_FILES['control_name_from_client']['type'].我们知道此属性通过读取上传文件的扩展名来确定文件类型。
如果用户重命名,例如 test.jpg - >的 TEST.XLS 即可。在这种情况下,$_FILES['control_name_from_client']['type']会将类型显示为 application / vnd.ms-excel ,而不是 image / jpeg 即可。如果必须执行代码来读取XLS文件以获取某些处理数据,那么这很自然会产生问题。
有什么建议吗?
答案 0 :(得分:7)
尝试 finfo_file() 。你必须通过文件路径调用它。例如:
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES['control_name_from_client']['tmp_name']);
finfo_close($finfo);
您需要Fileinfo扩展名。正如PHP手册所说:
此模块中的函数通过在文件中的特定位置查找某些 magic 字节序列来尝试猜测文件的内容类型和编码。虽然这不是一种防弹方法,但使用的启发式方法做得非常好。
答案 1 :(得分:2)
据我所知,PHP中没有这样的功能,但是如果你可以访问CLI(并且正在运行Linux),你可以通过system()使用“file”命令。
答案 2 :(得分:2)
以前在旧版本的PHP中有mime_magic扩展名,但现在不赞成使用finfo_file,它使用文件签名来测试文件类型,而不仅仅是扩展名。
答案 3 :(得分:2)
Dunno你在说什么“标题”,但从安全的角度来看,你唯一需要注意的是文件名扩展名。
仅仅因为你的网络服务器会通过它判断你的文件。
要测试上传的文件是否是某个特定应用程序的有效数据,您必须使用此特定于应用程序的例程,PHP中没有通用工具。 你可以使用imagemagick用于图像,getid3用于mp3文件,fffmpeg用于电影等等。
但当然必须使用整个文件,只检查“标题”并不能保证整个文件有效。