finfo_file 是 PHP 中的一個函數(shù)�,用于檢測文件的 MIME 類型
-
使用 finfo 資源:
首先,創(chuàng)建一個 finfo 資源���,這樣可以避免每次調(diào)用 finfo_file 時都需要重新加載魔術(shù)數(shù)據(jù)庫�����。這可以提高性能并確保一致性�。
$finfo = new finfo(FILEINFO_MIME_TYPE);
-
檢查上傳文件的 MIME 類型:
使用 finfo_file 函數(shù)檢查上傳文件的 MIME 類型,并與允許的 MIME 類型列表進(jìn)行比較�。
$mime_type = $finfo->file($_FILES['uploaded_file']['tmp_name']);
$allowed_mime_types = ['image/jpeg', 'image/png', 'image/gif'];
if (!in_array($mime_type, $allowed_mime_types)) {
die('Invalid file type.');
}
-
檢查文件擴(kuò)展名:
為了防止攻擊者繞過 MIME 類型檢查,還應(yīng)該檢查文件的擴(kuò)展名�����。
$file_extension = pathinfo($_FILES['uploaded_file']['name'], PATHINFO_EXTENSION);
$allowed_extensions = ['jpg', 'jpeg', 'png', 'gif'];
if (!in_array(strtolower($file_extension), $allowed_extensions)) {
die('Invalid file extension.');
}
-
使用安全的文件名:
為了防止路徑遍歷攻擊���,不要直接使用用戶提供的文件名�。而是使用一個安全的文件名�,例如使用 uniqid() 和 sha1_file() 函數(shù)生成的哈希值。
$secure_filename = uniqid() . '_' . sha1_file($_FILES['uploaded_file']['tmp_name']) . '.' . $file_extension;
-
將文件移動到一個安全的目錄:
在將文件保存到服務(wù)器之前�,確保將其移動到一個專門用于存儲上傳文件的安全目錄。這個目錄應(yīng)該位于 web 根目錄之外�,以防止未經(jīng)授權(quán)的訪問。
$upload_dir = '/path/to/your/secure/uploads/directory';
$destination = $upload_dir . '/' . $secure_filename;
if (!move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $destination)) {
die('Failed to move uploaded file.');
}
通過遵循以上步驟��,你可以利用 PHP 的 finfo_file 函數(shù)提高文件上傳功能的安全性����。
