儘管使用常見方法來驗證影像檔案類型,但有些使用者在上傳過程中遇到了錯誤。
提供的程式碼片段利用了使用者提供的 $_FILES['fupload']['type'] 屬性,該屬性很容易被惡意使用者。為了解決此漏洞,建議使用 mime_content_type() 來提高準確性。
但是,建議的解決方案是避免完全依賴使用者定義的值。相反,建議您進行自己的類型驗證。
對於圖像,exif_imagetype() 函數提供了一種可靠的方法來確定文件的真實格式:
$allowedTypes = array(IMAGETYPE_PNG, IMAGETYPE_JPEG, IMAGETYPE_GIF); $detectedType = exif_imagetype($_FILES['fupload']['tmp_name']); $error = !in_array($detectedType, $allowedTypes);
此方法檢查直接對圖像的二進制簽名進行簽名,消除了使用者操縱文件類型的可能性。
或者,對於更高級的文件類型驗證,請考慮使用如果您的伺服器支持,則 finfo 可以運行。
以上是如何在 PHP 中安全地驗證上傳的映像檔類型?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
