php - PHP 验证文件上传

Question

我是 PHP 初学者，目前正在学习“验证文件上传”部分。

我制作了一个包含以下代码的 test.php 页面：

var_dump(@$_FILES['file']['type']);

首先，我上传了一张图片“img.gif”，它返回了：

string 'image/gif' (length=9)

然后，我将图像的扩展名更改为“.jpg”并返回：

string 'image/jpeg' (length=10)

所以我意识到 $_FILES["file"]["type"] 只返回上传的文件扩展名，但实际上并没有检查它是什么文件。

在这个页面http://www.w3schools.com/php/php_file_upload.asp，有一段代码：

$allowedExts = array("gif", "jpeg", "jpg", "png");
$extension = end(explode(".", $_FILES["file"]["name"]));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 20000)
&& in_array($extension, $allowedExts))

我想知道为什么上面的代码检查文件扩展名两次？我从上面的代码中删除了一些，这是我的新代码：

$allowedExts = array("gif", "jpeg", "jpg", "png");
$extension = end(explode(".", $_FILES["file"]["name"]));
if (($_FILES["file"]["size"] < 20000) && in_array($extension, $allowedExts))

我的代码正确吗？或者您有更好的方法来验证上传文件是图像吗？

谢谢！

score 19 · Accepted Answer

您应该将文件*的 tmp_name 传递给getimagesize，它将为您提供图像的大小和类型（如果它是图像）。如果传递的参数是文件而不是图像，则返回 false，这将允许您进行验证。

编辑：图像验证的唯一可靠方法是使用 GD 或 Imagick 制作它的副本 - getimagesize 很容易被破解。

*：我的意思是，上传后创建的临时文件。

例如：

if ($_SERVER['REQUEST_METHOD'] === 'POST')
{
    $file = $_FILES['file']['tmp_name'];
    if (file_exists($file))
    {
        $imagesizedata = getimagesize($file);
        if ($imagesizedata === FALSE)
        {
            //not image
        }
        else
        {
            //image
            //use $imagesizedata to get extra info
        }
    }
    else
    {
        //not file
    }
}

此代码使用file_exists只是为了通用。如果没有上传文件，您将获得$_FILES['file']['size'] = 0,$_FILES['file']['tmp_name'] = ''和$_FILES['file']['error'] = 4. 另请参见is_readable。有关错误值，请参阅php.net中解释的文件上传错误。

score 4 · Accepted Answer

$allowedExts = array("gif", "jpeg", "jpg", "png");
$extension = end(explode(".", $_FILES["file"]["name"]));
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 20000)
&& in_array($extension, $allowedExts))

这被检查了两次，因为文件的扩展名和“文件类型”可能不同，所以有人不能上传扩展名为 .png 的可执行文件。

在您修改后的代码中，可以上传具有修改后扩展名的不同类型的文件。就像他们可以上传带有“.png”扩展名的word文档一样。

您的新代码只是检查扩展名，没有仔细检查。

score 0 · Accepted Answer

您的新代码仅检查文件的扩展名和文件的大小。它不检查文件的类型。

我强烈建议使用您的旧代码，因为它还会检查文件类型。

php - PHP 验证文件上传

3 回答 3

Related

Reference