上传中 Mimetypes 的可靠性 (PHP)

Question

我有一段时间一直有这个问题：文件的 mime 类型到底是如何确定的？我相信这是通过检查文件的特定字节是否包含任何已知的 魔法数字< 来完成的/a> / 文件签名，对吗？

如果是这样，这就提出了另一个问题，假设我将一个带有假 GIF 文件签名的 bash 脚本上传到一个只允许上传图像的网站，会发生什么？或者：

1. mimetype 检测例程足够智能，可以检测假签名，或者
2. image/gif 被错误地返回为 mimetype，并且允许继续上传

我没有安装 ATM 机上的十六进制编辑器，并且我不喜欢从测试中得出与安全相关的结论，因为我可能会错过（或误解）某些内容，所以我的问题是：上述选项中哪一个是正确的？

另外，是否有任何其他最佳实践（除了检查 mimetype 之外）来确保任何给定的文件实际上是它看起来/需要（或允许）的？提前致谢。

PS：需要明确的是，我并不是在询问 $_FILES 超全局中的 type 索引。

Answer 1

我的理解是文件上传代码中的 MIME 确定例程非常粗糙，并且 $_FILES 数组中的 MIME 类型根本不可信。根据我的经验，它很容易被欺骗。

您最好使用 Fileinfo 库，它提供更强大的文件类型检测。

http://www.php.net/manual/en/ref.fileinfo.php

Answer 2

如果您谈论的是 $_FILES['userfile']['type'] 那么此信息是由浏览器发送的。它可能存在，也可能不存在，即使存在，您也应该像对待任何其他用户输入一样对待它。

如果您有兴趣检查图像，可以使用 getimagesize 函数来确定文件类型。对于它无法理解的图像，该函数返回 NULL。即使它返回有效的图像类型，您仍然可以拒绝该文件，例如，如果您需要 GIF 和 JPEG，但得到的是 TIFF。

此外，网络服务器将根据文件权限（执行位和shebang行）和文件扩展名来确定是否执行文件。如果你检查这两个，你可能就没事了。

Answer 3

我的理解是，这（易受攻击的 MIME 类型）是文件名在上传时应通过各种方式加密，然后存储在数据库中以便通过 ID 号检索的原因。基本上，如果有人设法上传恶意脚本，他们将永远无法找到它来运行它？