最可靠方式是用 finfo_file 读取文件内容识别 mime 类型,因其基于文件头部字节指纹匹配;禁用 $_files['type'] 和 mime_content_type();需配合扩展名白名单与文件头硬校验三重防御。
用 finfo_file 获取真实 MIME 类型最可靠
靠文件扩展名或 $_FILES['xxx']['type'] 判断类型基本等于没校验——浏览器传来的 type 字段完全由客户端控制,随便改。真正能信的只有文件内容本身。
PHP 自带的 finfo 扩展(基于 libmagic)是目前最稳妥的方式,它读取文件头部字节做指纹匹配:
- 必须启用
finfo扩展(PHP 5.3+ 默认开启,但某些精简版可能关闭) - 不要用
mime_content_type()—— 它只是finfo的封装,且已标记为 deprecated - 创建
finfo实例时,务必传FILEINFO_MIME_TYPE,别漏掉_TYPE后缀,否则返回完整 MIME 字符串(含 charset),增加后续判断负担
$finfo = finfo_open(FILEINFO_MIME_TYPE); $mimeType = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo);
常见 MIME 校验陷阱:图片 ≠ image/*,PDF 也可能被识别成 application/octet-stream
不是所有合法文件都能被准确识别,尤其小文件、截断文件、或特殊构造的“双扩展名”文件(比如 shell.php.jpg)。finfo 返回结果不稳定是常态。
-
image/jpeg、image/png可信;但image/gif遇到动画 GIF 有时会返回image/x-xbitmap(极少见,但存在) - PDF 文件若开头缺失
%PDF-签名,可能被识别为application/octet-stream或text/plain - Office 文档(如 .docx)本质是 ZIP,
finfo常返回application/zip,不能直接按application/vnd.openxmlformats-officedocument匹配 - 永远别写
if (strpos($mimeType, 'image/') === 0)这种宽松判断——攻击者可伪造image/xxx开头的恶意 MIME
上传前必须配合扩展名白名单 + 文件头硬校验
单靠 MIME 不够,必须叠加两层防御:扩展名白名单 + 文件头字节检查(magic bytes)。三者缺一不可。
立即学习“PHP免费学习笔记(深入)”;
- 扩展名只取
pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION),别用substr(strrchr())之类易被绕过的写法 - 对图片类文件,读取前 4–8 字节比对签名:
— JPEG:\xff\xd8\xff
— PNG:\x89\x50\x4e\x47\x0d\x0a\x1a\x0a
— GIF:GIF8(ASCII) - PDF 必须检查前 4 字节是否为
%PDF(注意 ASCII 字面量,不是 hex) - 如果
finfo返回application/octet-stream,但文件头匹配图片签名,仍可放行——说明是真图但 magic db 没覆盖到
注意临时文件生命周期和权限问题
$_FILES['xxx']['tmp_name'] 是 PHP 上传后暂存的路径,仅在当前请求生命周期有效。调用 finfo_file() 必须在这期间完成,不能先 move 再校验。
- 别在
move_uploaded_file()之后再调finfo_file()—— 此时 tmp 文件已被清空或移走,finfo_file会返回false或空字符串 - 确保 web server 用户(如 www-data)对临时目录有读权限;某些 SELinux 环境下还需额外策略允许 httpd 读取 tmp 文件
- 大文件上传时,
finfo_file默认只读前 8KB,对超长 PDF 或 ZIP 可能误判;如需更准,可用finfo_set_flags($finfo, FILEINFO_CONTINUE),但性能略降
最麻烦的地方往往不在逻辑,而在你忘了 finfo 对空文件、0 字节上传、或 post_max_size 截断后的残缺文件根本不会返回预期 MIME —— 这些边界情况不处理,校验就形同虚设。
