1

我的服务器必须只接受 pdf 文件。我正在使用 php 上传文件。目前,我正在检查文件是否以 %PDF 开头,以确保上传的文件确实是 pdf 文件。是否有其他检查以确保 100%(或至少非常强烈)它是 pdf 文件。恶意用户可以上传以 %PDF 开头的可执行文件吗?我会很感激任何帮助。

4

1 回答 1

1

您可以使用 PECLFileInfo扩展来检测 MIME 类型。(但我怀疑,在内部,它只是做你已经在做的同样的事情。)或者,你可以FPDI用来查看你是否可以成功读取文件。不过,对于 PDF 文件,我认为嵌入式恶意软件比命名错误的可执行文件更令人担忧。每当您接受来自用户的上传时,运行文件ClamAV或类似文件可能是个好主意。

于 2013-04-02T20:59:29.140 回答