0
我正在寻找最安全的方式来确定用户已发送到我的服务器的文件的扩展名。 我知道我不应该相信窗体发送的图像文件。 我会在将它移动到我的上传目录之前,从我的tmp文件开始猜测它。最安全的方式来猜测文件扩展名
谢谢
A
回答
1
可以使用pathinfo功能此类似:
$file = "a.jpg";
var_dump(pathinfo($file));
将会有一个扩展的关键。 但我建议你不只是验证文件的扩展名,但也是MIME类型!
+0
由tmp文件上的pathinfo返回的扩展是'tmp',这不是我所需要的... – rudak 2014-10-29 14:06:45
+1
@rudak你可以使用函数在文件名上,而不是临时文件名。 – Alternatex 2014-10-29 14:07:43
+0
这个名字可以是假的,我觉得这个不是很安全 – rudak 2014-10-29 14:09:36
0
我发现这个方法:
public static function is_image($image_path)
{
if (!$f = fopen($image_path, 'rb')) {
return false;
}
$data = fread($f, 8);
fclose($f);
$unpacked = unpack("H12", $data);
if (array_pop($unpacked) == '474946383961' || array_pop($unpacked) == '474946383761')
return "gif";
$unpacked = unpack("H4", $data);
if (array_pop($unpacked) == 'ffd8')
return "jpg";
$unpacked = unpack("H16", $data);
if (array_pop($unpacked) == '89504e470d0a1a0a')
return "png";
return false;
}
你怎么看呢? thx
+0
所以我只需要转储8任意字节然后添加'<?php eval(gzinflate(base64_decode($ malware)));'并且您拥有。 – 2014-11-04 22:09:37
相关问题
- 1. 有没有检测文件扩展名的原生方式?
- 2. 正则表达式来检测文件扩展名
- 3. 通过文件扩展名获取扩展名和图标的最快方法?
- 4. 最安全的方式来存储上传的文件
- 5. 最安全的方式来“调用”一个php文件
- 6. 最安全的方式来使用mod_rewrite
- 7. grunt文件全局文件扩展名模式
- 8. 没有文件扩展名的页面资源安全吗?
- 9. 安全的文件扩展名,同时上传到服务器
- 10. 扩展jQuery插件的最佳方式
- 11. Apache的别名“最佳猜测”文件名
- 12. 线程安全的IQueryable扩展方法
- 13. 最简单的方式来扩展Dashcode组件?
- 14. 最有效的方式来检查电子邮件扩展
- 15. 以PHP格式获取照片文件扩展名的最佳方式
- 16. 自动检测文件扩展名
- 17. 检测重复文件扩展名
- 18. 文件扩展名检测机制
- 19. 方式来扩展在JavaScript
- 20. PHP:没有文件扩展名的文件名 - 最好的方法?
- 21. 文件扩展名
- 22. 文件扩展名[]
- 23. 文件扩展名
- 24. 文件扩展名
- 25. 文件扩展名
- 26. 文件扩展名
- 27. 最安全的方式来密码保护管理文件/文件夹?
- 28. 在最安全的方式
- 29. 将文件扩展名与程序关联的最佳方法
- 30. 扩展TextBox的UseSystemPasswordChar安全
[PHP检查文件扩展名]的可能重复(http://stackoverflow.com/questions/7563658/php-check-file-extension) – Kasyx 2014-10-29 13:57:13
有没有明确的方式来获得扩展名,但使用MIME -type可能是你最好的选择,如果'SplFileInfo :: getExtension'被证明是不可靠的 – 2014-10-29 14:12:51