必须结合MIME类型检测与扩展名验证确保文件上传安全:1. 使用fileinfo扩展获取真实MIME类型;2. 建立合法MIME与扩展名映射表并校验;3. 重命名文件、禁用脚本执行、限制大小及检查内容,防止恶意上传。
在PHP中实现安全的文件上传,不能只依赖客户端或简单的扩展名检查。攻击者可以伪造文件后缀或MIME类型,绕过基础验证。为了有效限制上传文件类型,必须结合MIME类型检测与扩展名验证,并通过更可靠的手段确认文件真实类型。
1. 使用fileinfo扩展检测真实MIME类型
PHP的fileinfo扩展能读取文件内容并判断其真实类型,比$_FILES['file']['type']更可靠(后者由浏览器提供,易被篡改)。
示例代码:
function getMimeType($filePath) {
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $filePath);
finfo_close($finfo);
return $mimeType;
}
立即学习“PHP免费学习笔记(深入)”;
使用该函数获取上传文件的真实MIME类型,例如图片常见值为:image/jpeg、image/png、image/gif。
2. 验证文件扩展名是否合法
根据允许的MIME类型,定义对应的扩展名映射表,避免用户上传.php、.htaccess等危险文件。
示例:
$allowedTypes = [
'image/jpeg' => 'jpg',
'image/png' => 'png',
'image/gif' => 'gif'
];
$uploadedFile = $_FILES['upload'];
$tempPath = $uploadedFile['tmp_name'];
$clientName = $uploadedFile['name'];
// 获取真实MIME
$realMimeType = getMimeType($tempPath);
if (!array_key_exists($realMimeType, $allowedTypes)) {
die('不支持的文件类型');
}
// 检查扩展名是否匹配
$ext = pathinfo($clientName, PATHINFO_EXTENSION);
if (strtolower($ext) !== $allowedTypes[$realMimeType]) {
die('文件扩展名与类型不符');
}
3. 其他安全建议
增强文件上传安全性还需注意:
- 将上传目录置于Web根目录之外,或禁用该目录的脚本执行权限(如Apache配置php_flag engine off)
- 重命名上传文件,使用随机名称(如uniqid() . '.' . $allowedTypes[$realMimeType]),避免覆盖或路径遍历
- 检查文件内容是否有恶意代码(如图片中嵌入PHP代码),可尝试用GD库重新生成图像
- 限制文件大小,通过upload_max_filesize和代码双重控制
4. 完整流程示例
综合上述方法的简化流程:
// 允许类型映射
$allowed = ['image/jpeg'=>'jpg', 'image/png'=>'png'];
if ($uploadedFile['error'] === 0) {
$mimeType = getMimeType($tempPath);
if (!isset($allowed[$mimeType])) {
echo '类型不允许';
exit;
}
$newName = 'upload_' . time() . '.' . $allowed[$mimeType];
move_uploaded_file($tempPath, 'uploads/' . $newName);
echo '上传成功';
} else {
echo '上传失败';
}
基本上就这些。只要做到真实MIME检测 + 扩展名匹配 + 安全存储,就能大幅降低风险。不复杂但容易忽略细节。
