Question

我有一个上传表单，允许上传大多数文件类型。他们在这里：

对于图像文件，我知道我可以使用PHP函数getimagesize（）或其他东西来确保它是真实的图像。但是视频和文档等其他文件呢？它是不是伪造扩展名的真实文件吗？

怎么做？

谢谢！我需要你的帮助。

Answer 1

每个文件都有自己的类型，它叫做mime类型，所以你可以查看mime类型，做一些类似的事情：

if (mime_content_type($FILES['file']['tmp'])== "image/png"))
{
// do upload
}else{
die('file type not supported');}

你可以将所有mime类型放入一个数组中，用in_array函数检查类型 你可以在这里找到所有的mime类型：http://www.freeformatter.com/mime-types-list.html

Answer 2

任何客户端检查（甚至浏览器mime类型检测）都注定要失败，因为用户可以访问它。您最好让上传开始并完成，然后执行严格的服务器端检查。如果这不符合您的预期，您只需丢弃该文件。

在服务器端检查之上，您当然可以实施客户端检查以获得更整洁的用户体验

Answer 3

完全保护文件上传的唯一方法是尝试使用PHP或其他需要特定有效文件类型的扩展/工具来解析上传的文件。换句话说：

图片：使用GD函数解析文件，如果文件不是有效图像，则返回false。
视频：可能在命令行上使用ffmpeg验证并检查输出或使用ID3扩展名，如下所示：https://stackoverflow.com/a/134893（归功于Zathrus Writer对链接到此问题的问题的评论）
文档：尝试使用PHPExcel / Word / PowerPoint加载文件，虽然我不确定这些文档是否支持这些文档的任何格式，因为它适用于OpenXML。

通过查看getID3扩展，这可能是最好的选择，因为它似乎可以解析各种各样的内容类型。

在任何情况下，您实际需要的是PHP或其他第三方库/扩展，以确定文件的二进制数据与其MIME内容类型相对应。

希望这会有所帮助：）