Wie zu Lesen-header, der eine Datei hochgeladen in PHP?

Können wir Lesen den header-Informationen einer Datei in PHP zu bestimmen, die Art der Datei, die hochgeladen?.

Ich will nicht zu verlassen Sie sich auf $_FILES['control_name_from_client']['type']. Da wir wissen, dass diese Eigenschaft bestimmt, der Typ der Datei durch das Lesen der extension der Datei hochgeladen.

Was ist, wenn der Benutzer benennt, sagen test.jpg -> test.xls. In diesem Fall $_FILES['control_name_from_client']['type'] zeigen die Art, wie application/vnd.ms-excel statt image/jpeg. Es ist aber natürlich dies kann zu Problemen führen, wenn ein code ausgeführt werden soll, liest die XLS-Datei zum abrufen von Daten für die Verarbeitung.

Irgendwelche Vorschläge, bitte?

InformationsquelleAutor kush.impetus | 2011-12-09
  1. 7

    Versuchen finfo_file(). Sie nennen es vorbei an der Dateipfad. Beispiel:

    $finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES['control_name_from_client']['tmp_name']);
finfo_close($finfo);

    Müssen Sie die Fileinfo Erweiterung. Als PHP-Handbuch sagt:

    Funktionen in diesem Modul versuchen Sie zu erraten, den content-type und encoding einer Datei durch die Suche nach bestimmten Magie byte-Sequenzen an bestimmten Positionen innerhalb der Datei. Dies ist zwar nicht eine Kugel-Beweis-Ansatz der Heuristik verwendet, machen einen sehr guten job.

    • mime_content_type() stützt sein Ergebnis auf die Erweiterung. nicht sicher über finfo_file()
    • Du hast Recht. Ich denke, die Fileinfo Erweiterung ist clever.
    • Danke. Das hat geklappt.
    InformationsquelleAutor lorenzo-s
  2. 2

    soweit ich weiß, gibt es keine solche Funktion in PHP, aber wenn Sie Zugriff auf das CLI (und mit Linux), können Sie mit der "file" Befehl über system().

    InformationsquelleAutor Kae Verens
  3. 2

    Es verwendet werden, um die mime_magic - Erweiterung in älteren Versionen von PHP, aber das ist jetzt veraltet zugunsten von finfo_file, was tut, verwenden Sie Datei-Signaturen testen Sie den Dateityp, rein gar nicht mit der Erweiterung.

    InformationsquelleAutor Mark Baker
  4. 2

    Weiß nicht, was "header" du redest, aber aus der Sicht der Sicherheit das einzige, was Sie wirklich haben, um die Aufmerksamkeit auf ein Dateiname Erweiterung.

    Nur weil Ihr web-server richten Sie Ihre Datei, indem Sie es.

    Um zu testen, ob die hochgeladene Datei als gültige Daten für eine spezielle Anwendung, die Sie haben, um diese Anwendung zu nutzen-spezifische routine, es gibt kein universal-tool in PHP.
    Sie können die Verwendung von imagemagick für Bilder, getid3 für die mp3-Dateien, fffmpeg für die Filme und so weiter.

    Aber natürlich die ganze Datei eingesetzt werden müssen, die überprüfung nur die "header" nicht garantieren, dass die gesamte Datei gültig ist.

    • Sie haben Recht, dass checking just "header" doesn't guarantee that entire file is valid, aber es hat Leichtigkeit, die Dinge ein bisschen mehr, wenn auch nicht in vollen Zügen genießen.
    • nicht gut genug. Beispiel: hochladen einer PHP-Datei namens "test.php.blabla" - ein Standard-Apache+PHP-installation ignoriert ".bla" und behandelt die Datei als PHP-Datei. Verlassen Sie sich nicht auf die Erweiterung.
    • huh? Wer sagte dir das?
    • href="http://verens.com/2008/10/13/security-hole-for-files-with-a-dot-at-the-end/" >verens.com/2008/10/13/... <-- wie ich fand heraus, über es. im Grunde ein Standard-Apache-installation behandelt Dateien mit mehreren Erweiterungen, wenn die end-Erweiterung ist eine Sprache (zum Beispiel index.html-Code.en), aber es nicht überprüfen, um zu sehen, ob es eine /real/ Sprache. so könnte man den upload ein PHP-Skript getarnt als Bild (index.php.jpg) und es würde laufen wie ein PHP-Skript.
    • gut, mit .blah, es ist möglich. mit .jpg - Nr. Nur überprüfen Sie Ihre Erweiterungen, wie ich sagte.
    • falsch. probieren Sie es und sehen. erstellen Sie eine Datei auf Ihrem webserver aufgerufen "test.php.jpg" mit "<?php phpinfo(); ?>" und ihn anzeigen. wenn du Recht hast, es sollte angezeigt werden, wie entweder ein fehlerhaftes Bild oder nur text. wenn ich Recht habe (und ich habe gerade getestet, übrigens...) es wird die phpinfo () - Funktion.
    • Gut, Sie haben Recht, ich entschuldige mich. Das Verhalten sieht wahnsinnig.
    • Ich denke, das Verhalten, das Sie bemerkt haben, wurde jetzt behoben. Ich habe die genauen Schritte, wie Sie vorgeschlagen haben. Aber, Gott sei Dank, ist es nicht lief phpinfo(). Stattdessen broken image angezeigt. Ich werde sicherlich gerne wissen, wenn ich etwas verpasst haben oder ob Sie immer noch reproduzieren Sie das Problem, irgendwie.

    InformationsquelleAutor Your Common Sense
Schreibe einen Kommentar