我正在创建文件上传脚本,我正在寻找验证上传文件的最佳技巧和实践。
允许的扩展名为:
$allowed_extensions = array('gif','jpg','png','swf','doc','docx','pdf','zip','rar','rtf','psd');
以下是我正在做的事情的清单。
检查文件扩展名
$path_info = pathinfo($filename);
if( !in_array($path_info['extension'], $allowed_extensions) ) {
die('File #'.$i.': Incorrent file extension.');
}
检查文件mime类型
$allowed_mimes = array('image/jpeg','image/png','image/gif','text/richtext','multipart/x-zip','application/x-shockwave-flash','application/msword','application/pdf','application/x-rar-compressed','image/vnd.adobe.photoshop');
if( !in_array(finfo_file($finfo, $file), $allowed_mimes) ) {
die('File #'.$i.': Incorrent mime type.');
}
检查文件大小。
如何确保上传的文件是有效文件?我注意到奇怪的事情。我将.jpg文件扩展名更改为.zip并且...已上传。我认为它的MIME类型不正确但之后我注意到我没有检查特定的类型,但是如果数组中存在特定的MIME类型。我稍后会修复它,这对我来说没有任何问题(当然,如果你有任何好的解决方案/想法,请不要犹豫,分享它)。
我知道如何处理图片(尝试调整大小,旋转,裁剪等),但不知道如何验证其他扩展程序。
现在是时候提问了我。
我试图上传它显示给我的.psd文件(image / vnd.adobe.photoshop)。我对此有点困惑。文件是否始终具有相同的MIME类型?
另外,我不能强制代码块工作。有没有人猜到为什么?
答案 0 :(得分:4)
如果你想验证图像,一件好事就是使用getimagesize(),看看它是否返回一组有效的大小 - 如果它是一个无效的图像文件则会出错。或者对您尝试支持的任何文件使用类似的功能。
关键是文件名意味着绝对没有。文件扩展名(.jpg等),mime类型......适用于人类。
保证文件的类型正确的唯一方法是打开它并逐字节地评估它。显然,如果您想尝试验证大量文件类型,这是一项非常艰巨的任务。在最简单的级别,您将查看文件的前几个字节,以确保它们与该类型文件的预期匹配。
答案 1 :(得分:4)
许多文件格式都有一组非常标准的起始字节来表示格式。如果对前几个字节进行二进制读取并根据已知格式的起始字节对它们进行测试,那么确认文件类型与扩展名匹配应该是一种相当可靠的方法。
例如,JPEG的起始字节是0xFF,0xD8;所以像:
$fp = fopen("filename.jpg", "rb");
$startbytes = fread($fp, 8);
$chunked = str_split($startbytes,1);
if ($chunked[0] == 0xFF && $chunked[1] == 0xD8){
$exts[] = "jpg";
$exts[] = "jpeg";
}
然后检查exts。
可行。