2

确定 mime 类型或文件类型的最佳方法是什么,阻止任何恶意通过并确保错误不会进入您的系统。

在我的示例中,我需要一种筛选方式,因此只需将 .mp3 上传到站点。现在我知道有 mime_content_type 但这会给出奇怪的结果,具体取决于文件的制作方式和您使用的浏览器,看到它从浏览器获取数据,至少我是这么理解的。

这是我使用 mime 类型识别的代码。

if(mime_content_type_new($_FILES["userfile"]) == 'audio/mpeg' ) { do stuff }

然后是使用unix命令行并解释它

$fileinfo = exec("file -b 'song.mp3'"); echo $filinfo;

这会输出类似这样的东西。

ID3 版本 2.3.0 的音频文件,包含:MPEG ADTS,第三层,v1,192 kbps,44.1 kHz,立体声

所以我们可以排序并检查它是否与我们的文件类型匹配。

$fileinfo = exec("file -b 'song.mp3'");
$filewewant = "MPEG";
$mpeg = stripos($fileinfo, $filewewant);
$filewewant = "layer III";
$mpeg3 = stripos($fileinfo, $filewewant);

if ($mpeg !== False & $mpeg3 !== False)
    { echo "success"; };

这种方式似乎效果更好,无论命名扩展名如何(例如,它是否将其重命名为.png),但需要先保存文件然后排序,并且不适用于Windows。

我也被指向http://pear.php.net/package/MIME_Type

还有其他人有更好的方法吗?识别正在上传到服务器的文件的正确方法是什么?

4

2 回答 2

1

MIME 类型是(应该)通过查看文件的 MIME 标头获得的,该标头是文件开头的一段数据,指示 MIME。

这正是 mime_content_type_new 和您的 UNIX 命令正在做的事情,所以没有问题。不知道你所说的“更好”的方式是什么意思,你做得对。

如果由于浏览器问题而得到不同的 MIME 类型结果,您可能应该创建一个可接受值的数组并使用该in_array()方法检查它。

我不建议将这样的 MIME 类型检查留给客户端代码,尤其是当安全性是一个大问题时。客户端可以访问代码,因此更容易被愚弄。

但是,您可以在客户端和服务器端进行检查。这将为您节省上传错误的带宽,但仍可保护系统免受恶意用户的侵害。

这是关于 Javascript 的 FILE API 和使用 Javascript 处理图像的一个很好的教程。

http://www.html5rocks.com/en/tutorials/file/dndfiles/

干杯。

于 2012-07-03T14:53:20.323 回答
0

这可能不是一个证明解决方案(只是新的/当前的浏览器),但新的 javascript FILE API 允许在不上传文件的情况下读取 MIME-TYPE。对于任何服务器端验证,您必须上传文件 -> 并且您应该验证它们。

于 2012-07-03T14:48:12.670 回答