Question

我正在关注http://www.codeforest.net/html5-image-upload-resize-and-crop中的代码，在客户端调整大小后，使用file_put_contents($file, $data);进行保存。

if ($_POST) {
    define('UPLOAD_DIR', 'uploads/');
    $img = $_POST['image'];
    $img = str_replace('data:image/jpeg;base64,', '', $img);
    $img = str_replace(' ', '+', $img);
    $data = base64_decode($img);
    $file = UPLOAD_DIR . uniqid() . '.jpg';
    $success = file_put_contents($file, $data);
    print $success ? $file : 'Unable to save the file.';
}

然而我不知道这个功能实际上是如何工作的，我担心的是 - 如果用户将隐藏的输入字段和伪造的PHP代码更改为看起来像图像，或者用户更改隐藏的输入字段与另一个不同大小的图像，什么是防止这种情况发生的最佳做法？

Answer 1

将数据写入文件后，使用getimagesize()验证它是否是正确的图像数据。如果失败，请删除该文件并报告上传失败。

是通过文件放置内容安全上传base64_decode图像？

1 个答案: