利用PHP实现智能文件类型检测的实现代码

2024-05-04 23:17:22

字体：大中小

来源：转载

供稿：网友

使用文件后缀和MIME类型检测
通常我们想严格限制文件类型的时候，可以简单地用$_FILES['myFile']['type'] 　取得文件的 MIME类型然后来检测它是否是合法的类型。
或者我们可以取文件名的最后几个字符来获取文件后缀，不幸的是，这些方法并不足够，可以很容易地改变文件的扩展名绕过这个限制。此外，MIME类型信息是由浏览器发送的，而且，对于大多数浏览器，即使不是全部，是根据文件的扩展名的来给出MIME类型信息的！因此，MIME类型，就像扩展名一样，可以很容易地欺骗。
使用“魔术字节”
确定文件类型的最佳方法是通过检查文件的前几个字节 – 称为“魔字节”。魔术字节本质上是文件头中不同长度在2到40个字节之间的，或在文件末尾的签名。有上百个类型的文件，他们中相当多的文件类型有好几个文件签名与它们相关联。在这里你可以看到一个文件签名列表。
偷懒的办法是使用fileinfo扩展，PHP 5.3.0　默认是启用的（根据官方MANUAL），如果没有启用，你可以自己启用
如在windows下面：

复制代码代码如下:

extension=php_fileinfo.dll

linux下面：

复制代码代码如下:

extension=fileinfo.so
#如不能正常工作，再加上下面这条
#mime_magic.magicfile=/usr/share/file/magic

windows下面如不能正常工作：
可参考：#82570
下载file-5.03-bin.zip　，解压出来，在其中的share目录有magic.mgc　、magic　两个文件。
然后添加一个名为MAGIC的系统环境变量指向magic　文件。如D:/software/PHP/extras/misc/magic 　

复制代码代码如下:

function getFileMimeType($file) {
$buffer = file_get_contents($file);
$finfo = new finfo(FILEINFO_MIME_TYPE);
return $finfo->buffer($buffer);
}
$mime_type = getFileMimeType($file);
switch($mime_type) {
case "image/jpeg":
// your actions go here...
}

处理图像上传
如果你打算只允许图像上传，那么你可以使用内置的getimagesize()函数，以确保用户实际上是上传一个有效的图像文件。如果该文件不是有效的图像文件,这个函数返回false。

复制代码代码如下:

// 假设file input 域的name 属性为myfile
$tempFile = $_FILES['myFile']['tmp_name']; // path of the temp file created by PHP during upload
$imginfo_array = getimagesize($tempFile); // returns a false if not a valid image file
if ($imginfo_array !== false) {
$mime_type = $imginfo_array['mime'];
switch($mime_type) {
case "image/jpeg":
// your actions go here...
}
}
else {
echo "This is not a valid image file";
}

手动读取和解释“魔法字节”
如果由于某种原因，你不能安装FileInfo扩展，那么你仍然可以手动确定，通过读取文件的前几个字节，并比较它们与已知的魔法与特定文件类型相关联的字节的文件类型。这个过程肯定少许的试验和错误，因为还有一种可能，有少数非法的魔法字节与合法文件格式关联了。
然而这不是不可能的，几年前，我被要求做一个只允许真正的 mp3 文件上传的脚本文件，并且，当时我们不能用 Fileinfo, 我们只能依靠这种手动检测的方式了.
我花了一段时间来解析一些mp3文件的非法魔法字节，但很快，我得到了一个稳定的上传脚本。
在本文结束前，我想给大家一个警告: 确保你永远没有调用一个　include() 来包含一个上传的文件，因为PHP代码很可能会巧妙地隐藏在图片里面,并且图片也可以成功的通过你的文件检测，当这样的脚本运行时，只可能给系统带来破坏。
译自：

上一篇：使用ThinkPHP自带的Http类下载远程图片到本地的实现代码

下一篇：PHP5 的对象赋值机制介绍