PHP Sprawdzanie poprawności przesłania pliku

Question

Jestem początkującym PHP i obecnie uczę się części "Sprawdzanie poprawności pliku".

zrobiłem stronę test.php zawierający następujący kod:

var_dump(@$_FILES['file']['type']); 

pierwsze, upload obrazu "img.gif" i wrócił:

string 'image/gif' (length=9) 

Potem zmienił obraz na rozszerzenie ".jpg" i powrócił:

string 'image/jpeg' (length=10) 

Więc sobie sprawę $ _FILES [ "plik"] [ "typ"] tylko powrócić przesłanego pliku rozszerzenie, ale w rzeczywistości nie sprawdzi, który to plik.

Na tej stronie http://www.w3schools.com/php/php_file_upload.asp znajduje się kod:

$allowedExts = array("gif", "jpeg", "jpg", "png"); 
$extension = end(explode(".", $_FILES["file"]["name"])); 
if ((($_FILES["file"]["type"] == "image/gif") 
|| ($_FILES["file"]["type"] == "image/jpeg") 
|| ($_FILES["file"]["type"] == "image/jpg") 
|| ($_FILES["file"]["type"] == "image/png")) 
&& ($_FILES["file"]["size"] < 20000) 
&& in_array($extension, $allowedExts)) 

dlaczego Powyższe kody dwukrotnie sprawdzić rozszerzenie pliku zastanawiam? Usunąłem niektóre z powyższych kodów i jest to mój nowy kod:

$allowedExts = array("gif", "jpeg", "jpg", "png"); 
$extension = end(explode(".", $_FILES["file"]["name"])); 
if (($_FILES["file"]["size"] < 20000) && in_array($extension, $allowedExts)) 

Czy mój kod jest prawidłowy? A może masz lepszy sposób na sprawdzenie, czy plik do przesłania jest obrazem?

Dzięki!

Answer 1

Powinieneś przekazać nazwę pliku tmp * do getimagesize, poda rozmiar i typ obrazu (jeśli jest to obraz). Jeśli przekazany argument jest plikiem, ale nie obrazem, zwraca wartość false, co pozwala na sprawdzenie poprawności.

Edycja: Jedyna wiarygodna metoda sprawdzania poprawności obrazu polega na zrobieniu kopii za pomocą GD lub Imagick - getimagesize can be easily hacked.

*: Mam na myśli tymczasowy plik utworzony po przesłaniu.

Na przykład:

if ($_SERVER['REQUEST_METHOD'] === 'POST') 
{ 
    $file = $_FILES['file']['tmp_name']; 
    if (file_exists($file)) 
    { 
     $imagesizedata = getimagesize($file); 
     if ($imagesizedata === FALSE) 
     { 
      //not image 
     } 
     else 
     { 
      //image 
      //use $imagesizedata to get extra info 
     } 
    } 
    else 
    { 
     //not file 
    } 
} 

Ten kod wykorzystuje file_exists prostu być ogólnie. Jeśli nie przesłano żadnego pliku, otrzymasz $_FILES['file']['size'] = 0, $_FILES['file']['tmp_name'] = '' i $_FILES['file']['error'] = 4. Zobacz także is_readable. Aby uzyskać informacje o błędach, zobacz file upload errors explained pod adresem php.net.

Answer 2

$allowedExts = array("gif", "jpeg", "jpg", "png"); 
$extension = end(explode(".", $_FILES["file"]["name"])); 
if ((($_FILES["file"]["type"] == "image/gif") 
|| ($_FILES["file"]["type"] == "image/jpeg") 
|| ($_FILES["file"]["type"] == "image/jpg") 
|| ($_FILES["file"]["type"] == "image/png")) 
&& ($_FILES["file"]["size"] < 20000) 
&& in_array($extension, $allowedExts)) 

ta jest sprawdzana dwa razy, ponieważ rozszerzenie pliku i „typ pliku” mogą być różne, więc ktoś nie może przesłać plik wykonywalny z rozszerzeniem .png.

W zmodyfikowanym kodzie możliwe jest przesłanie pliku innego typu ze zmodyfikowanym rozszerzeniem. np. mogą przesłać dokument tekstowy z rozszerzeniem ".png".

Twój nowy kod jest tylko sprawdzeniem rozszerzenia i nie ma podwójnego sprawdzenia.

Answer 3

Twój nowy kod sprawdza tylko rozszerzenie pliku i rozmiar pliku. Nie sprawdza typu pliku.

Zdecydowanie zalecam używanie starego kodu, ponieważ sprawdza on również typ pliku.