PHP检测上传文件的类型
文章信息
来源:转载
另一个相对安全点的方法是通过文件头两个字节的内容来判断上传文件的类型,例子代码如下:
01 $handle = fopen($_FILES[...]['tmp_name'], 'rb');
02 $content = fread($handle, 2);
03 fclose($handle);
04
05 $info = unpack('c2chars', $content);
06
07 if (empty($info['chars1']) || empty($info['chars2'])) {
08 exit('Error!');
09 }
10
11 if ($info['chars1'] < 0) {
12 $info['chars1'] += 256;
13 }
14 if ($info['chars2'] < 0) {
15 $info['chars2'] += 256;
16 }
17
18 $code = $info['chars1'] . $info['chars2'];
注:网上搜索的大多数相关的程序没有做256的相关操作,这是我通过试验数据自己意淫的TDD结果,不肯定是否一定正确,读者自己斟酌。
通过switch判断$code变量,就可以对应到文件类型,常见的图片类型结果大致如下:
GIF:7173
JPG:255216
PNG:13780
当然也可以判断其他的文件类型,自己做做试验就知道数值大小了。但此方法也不是一定安全的,因为前两个字节的内容也是可以伪造的,所以最好还要限制一下文件的扩展名,以防意外的解析,比如说,你创建一个名为foobar.php的文件,内容如下:
GIF
<?php eval(...); ?>
当你使用前两个字节去检测文件类型的时候,就会得出GIF:7173的结果,由于扩展名是.php,那么此文件就被php引擎解析了,如此一来就给了黑客 一个web shell,安全也就无从谈起了。所以说限制文件扩展名非常重要,切记!至于已经如何限制这类伪装,最简单的方法是在用shell命令过滤一遍:
strings /path/to/image/file | grep -i "<?php"
如此一来,维护一个用于grep的敏感关键字列表似乎也很必要。如果想更安全点,还应该把图片服务器独立出来,不装php,只解析静态文件。
补充:如果仅仅是判断图片的话,还有一个更简单方法,那就是getimagesize,这个方法虽然从名字上看是用来取得图片大小的,但结果里包含了图片类型,另外,虽然这个方法在文档里被归纳在GD部分,但是即便没有安装GD,也是可用的,不过和前面一样,也要注意限制文件扩展名。
![[旧闻]PHP创始人 Rasmus Lerdorf 从Yahoo!离职](/attachments/2010/01/1_201001140840111T06M.thumb.jpg)
![Windows 环境搭建推荐教程[from comsenz]](/attachments/2009/09/1_200909020947501HQoh.gif)