答案:通过finfo函数、文件头魔数、getimagesize函数及扩展名与内容双重验证可准确识别PHP上传文件的真实类型。
如果您需要在PHP中识别上传文件的真实类型,而不仅仅依赖客户端提供的扩展名,则可以通过分析文件的二进制特征或使用内置函数进行检测。以下是几种常用的实现方式:
一、通过文件MIME类型检测
利用PHP的finfo函数可以读取文件的实际MIME类型,该方法基于文件内容而非扩展名,安全性更高。
1、创建finfo资源对象,指定FILEINFO_MIME_TYPE选项以获取MIME类型。
2、传入待检测的文件路径,执行fileinfo_file()函数获取结果。
立即学习“PHP免费学习笔记(深入)”;
3、根据返回的MIME类型进行判断,例如image/jpeg表示JPEG图片。
二、检查文件头(魔数)
每种文件格式在开头都有特定的字节序列,称为“魔数”,可通过读取前几个字节来判断真实类型。
1、使用fopen()打开文件,并用fread()读取前4到8个字节。
2、将读取的二进制数据转换为十六进制格式以便比对。
3、与已知文件类型的魔数进行匹配,例如PNG文件的头字节为89 50 4E 47。
4、通过switch或if条件结构返回对应的文件类型。
三、使用getimagesize()函数检测图像类型
此函数专用于图像文件,能安全地验证是否为有效图像并返回其尺寸和类型信息。
1、调用getimagesize()函数并传入文件路径。
2、检查返回值是否为false,若为false则说明不是合法图像。
3、从返回数组的'mime'键中提取MIME类型,如image/png。
四、结合扩展名与内容双重验证
为提高安全性,可同时校验文件扩展名和实际内容,防止伪造伪装文件。
1、提取用户上传文件的原始扩展名。
2、使用上述任意一种方法获取文件真实类型。
3、对比扩展名与实际MIME类型是否一致,例如.jpg文件应具有image/jpeg类型。
4、两者匹配才允许保存,否则拒绝上传。
