判断文件上传类型

最新推荐文章于 2024-01-24 14:46:17 发布
最新推荐文章于 2024-01-24 14:46:17 发布
阅读量1.8k 收藏
点赞数
分类专栏: PHP深入 文章标签: byte 浏览器 internet upload file nginx

MIME的英文全称是"Multipurpose Internet Mail Extensions" 多功能Internet 邮件扩充服务,它是一种多用途网际邮件扩充协议,在1992年最早应用于电子邮件系统,但后来也应用到浏览器。服务器会将它们发送的多媒体数据的类型告诉 浏览器,而通知手段就是说明该多媒体数据的MIME类型,从而让浏览器知道接收到的信息哪些是MP3文件,哪些是Shockwave文件等等。服务器将 MIME标志符放入传送的数据中来告诉浏览器使用哪种插件读取相关文件。

文件用IE7上传用Firefox3.0上传
GIF

image/gif

image/gif

JPG

image/pjpeg

image/jpeg

ZIPapplication/x-compressedapplication/octet-stream
JSP

text/html

text/html

EXEapplication/octet-streamapplication/octet-stream

上边的黄图哦不红图表示出了不同的浏览器所上传的不同的mime的区别,研究了一下,暂时没有发现可修改假冒mime的方法。

<form enctype="multipart/form-data" action="URL" method="post">
<input type="hidden" name="MAX_FILE_SIZE" value="1000">
<input name="myFile" type="file">
<input type="submit" value="上传文件">
</form>

这个代码上传文件后:

使用PHP:

$_FILES['myFile']['type']   文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。

使用struts2限制类型:

<interceptor-ref name="fileUpload">
<param name="allowedTypes">application/zip,application/x-zip-compressed,application/rar,application/octet-stream</param>
<param name="maximumSize">3145728</param>
</interceptor-ref>
使用C/java(由 人人网 文斌大侠提供): 

public static boolean isImageJpeg(byte[] blob) {
       if (blob != null && blob.length > 2) {
           // 0xFFD8
           if (blob[0] == (byte)0xFF &&
              blob[1] == (byte)0xD8) {
              return true;
           }
       }
       return false;
    }
    public static boolean isImageBmp(byte[] blob) {
       if (blob != null && blob.length > 2) {
           // BM: Windows 3.1x, 95, NT, …
           // BA: OS/2 Bitmap Array
           // CI: OS/2 Color Icon
           // CP: OS/2 Color Pointer
           // IC: OS/2 Icon
           // PT: OS/2 Pointer
           if ((blob[0] == 'B' &&
               blob[1] == 'M')
               ||
              (blob[0] == 'B' &&
               blob[1] == 'A')) {
              return true;
           }
       }
       return false;
    }
    public static boolean isImagePng(byte[] blob) {
       if (blob != null && blob.length >  {
           // 89 50 4E 47 0D 0A 1A 0A
           if (blob[0] == (byte)0x89 &&
              blob[1] == (byte)0x50 &&
              blob[2] == (byte)0x4E &&
              blob[3] == (byte)0x47    &&
              blob[4] == (byte)0x0D &&
              blob[5] == (byte)0x0A &&
              blob[6] == (byte)0x1A &&
              blob[7] == (byte)0x0A)
              return true;
       }
       return false;
    }
    public static boolean isImageGif(byte[] blob) {
       if (blob != null && blob.length > 3) { // 只有3字节的gif?这里仅避免异常
           if (blob[0] == 'G' &&
              blob[1] == 'I' &&
              blob[2] == 'F')
              return true;
       }
       return false;
    }

--------------------------------------------------------------------------------------------------------------------------------

本文目的在于,进一步更正前文所述的mime判断方式,以及增加一个nginx环境里的文件上传大小所影响的代码。

上传类型控制:

在我(54chen)工作中发现,其实修改文件的后缀,浏览器就会很傻瓜地传送错误的mime类型,所以前文的判断是一个半错误的方法(除了C代码是正确的)。

网上流传一段PHP读取文件头判断文件类型的方法,有一些bug,经我(54chen)修改实测,应该是这个样子:

/**
* 读取文件前几个字节 判断文件类型
*
* @return String
*/
function checkTitle($filename) {
$file     = fopen($filename, "rb");
$bin      = fread($file, 2); //只读2字节
fclose($file);
$strInfo  = @unpack("c2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch ($typeCode)
{
case 7790:
$fileType = 'exe';
break;
case 7784:
$fileType = 'midi';
break;
case 8297:
$fileType = 'rar';
break;
case 255216:
$fileType = 'jpg';
break;
case 7173:
$fileType = 'gif';
break;
case 6677:
$fileType = 'bmp';
break;
case 13780:
$fileType = 'png';
break;
default:
$fileType = 'unknown'.$typeCode;
}
//Fix
if ($strInfo['chars1']=='-1' && $strInfo['chars2']=='-40' ) {
return 'jpg';
}
if ($strInfo['chars1']=='-119' && $strInfo['chars2']=='80' ) {
return 'png';
}
return $fileType;
}

这代码可以非常正确地分出修改后的文件,从而达到阻止修改后缀名上传的情况。

上传大小控制:

在PHP代码中直接读取$_FILE的size,而如果是特别大的文件,又使用了PHP+nginx的话,很有可能,超过2M的文件直接就被nginx就抛出来413错误了。

解决的办法:

修改/etc/nginx/nginx.conf

找到对应域名的server段:修改client_max_body_size的值,默认是2M。

这样子还不够,如果不修改php.ini里的值,你会发现上传的文件用上面的代码判断类型的时候会出问题。

修改/etc/php.ini

找到upload_max_filesize,修改这个值,默认是2M。

一番折腾,类型和大小的控制基本上就完善了。

重要PS

对于上传文件类型的判断,一直没有太好的办法,即使使用上面的代码,也有办法构造假的图片的(如何构造不再传播),有人使用getimagesize来判断,不失为一种好办法:

if(in_array($attach['ext'], array('jpg', 'jpeg', 'gif', 'png', 'swf', 'bmp')) && function_exists('getimagesize') && !@getimagesize($target)) {
    @unlink($target);
    upload_error('post_attachment_ext_notallowed', $attacharray);
   }

摘自dz代码。

函数参考 http://cn2.php.net/getimagesize

本文转自:http://www.54chen.com





hejie322
关注
专栏目录
关于upload上传之前判断文件类型
Benz_s600的博客
04-15 1713
1.在methods中书写方法 beforeAvatarUpload(file){ const isIMG = file.type === 'image/jpg' || file.type === 'image/jpeg' || file.type === 'image/png' const isLt = file....
判断文件上传文件类型
热门推荐
lpp_dd的博客
01-02 1万+
系统中需要用到文件上传的功能,但是从系统安全的角度上来说需要判断上传文件的格式,防止将病毒木马等有害的文件上传到服务器上。 判断文件类型有三种方式 1、通过文件后缀名 这个方法简单容易,但是也是最容易被欺骗的方法,修改文件的后缀名即可实现欺骗系统。 2、通过Content-Type判断 这个是通过判断文件的MIME类型进行判断,我们在通过form表单上传文件时,在上传的request域里
JavaScript对文件上传类型限制(根据文件头信息判断)
富朝阳的博客
09-19 2243
在前端开发过程中,文件上传功能几乎必不可少的,很多时候,我们在进行文件上传时,尤其是向普通用户开放文件上传功能时,一般都需要对上传文件的格式进行一些限制,以防止不良用户、黑客等将带有病毒脚本文件上传到服务器中,常见文件格式限制如下。
前端文件上传识别文件类型的几种方法,快看你是哪个?
最新发布
QD_ANJING的博客
01-24 3129
除了这些之外,我们还可以使用第三方库file-type来实现文件类型检测,这里我们就不再进行 demo 演示了,感兴趣的可以去官方文档中进行查阅。
文件上传】blob、file、formdata区别
lx233
09-27 1929
blob是原始的也是用的最多的;file是input拿到的时候这个格式,从blob继承而来;base64类似于string那种,可以传输方便直接用于图像展示,而blob是原始的。
JavaScript判断文件上传类型的方法
10-25
本文将介绍如何用JavaScript判断文件上传类型的方法,以及如何处理用户上传相同文件时触发onchange事件的问题。 首先,文件上传功能的实现依赖于HTML的`<input>`标签,通过设置其`type`属性为`file`,可以创建一个...
php判断文件上传类型及过滤不安全数据的方法
10-25
首先,判断文件上传类型通常是为了确保用户上传的是预期的文件类型,比如限制为图片文件。在PHP中,`$_FILES`全局数组包含了上传文件的相关信息,如文件名、大小、临时路径等。其中,`$_FILES['form']['type']`提供...
ASP.net判断上传文件类型的三种有效方法
10-26
第二种方法则不再依赖于文件扩展名,而是通过检测文件的MIME内容类型判断文件类型。在***中,可以通过FileUpload控件的PostedFile.ContentType属性来获取上传文件的MIME类型。这种方法相对简单,因为MIME类型是由...
PHP判断上传文件类型的解决办法
10-23
本文将介绍一个PHP函数checkTitle,它通过读取文件的头部信息来判断文件类型,并使用switch-case结构对常见文件类型的标识码进行匹配。 首先,我们定义了一个名为checkTitle的函数,它接收一个文件名作为参数。该...
文件上传类型限制)及删除实例
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
09-07 1726
前一阶段工作中有一个需求为:上传excel文件并将excel内的数据导入数据库。 根据需要参考了一些代码写了个excel文件上传后导入完毕删除文件的代码文件(为什么上传完毕要删除呢?我考虑到如果上传文件较多,会浪费服务器的储存空间,且这些excel文件上传,导入后基本上没什么用处了,因此决定将其删除。)
js 实现 判断上传文件类型
03-30
js 实现 判断上传文件类型! 值得下载看看!资源免费,大家分享!!
前端上传文件类型校验
weixin_43167662的博客
01-03 1480
上传
文件上传的多种形式
weixin_62776175的博客
12-09 5986
目录 回顾 一、正文 二、普通文件上传 1、 那么上传文件有什么条件呢: 2、前端页面 3、完成文件上传:---借助第三方jar完成。 commons-fileupload 4、配置文件上传解析器: 5、控制层代码 三、ajax本地上传 1、前端 2、后台代码 四、上传到OSS服务器 1、准备好上一篇创建的密钥,并进入阿里云的官网 2、前端 3、后端 4、自己的Bucket所在地域对应的Endpoint获取 五、通过ajax完成上传到OSS 1、前端 2、后台...
文件上传类型汇总
球球不吃虾WHR2349博客
02-23 1490
文件上传类型,jpg,png
文件上传不同类型简介
qq_38686150的博客
09-04 652
文件是以二进制存在的那么某种意义上我们确实可以将文件转成例如文本形式的 Base64 形式。但是呢,你转成这样的形式,后端也需要按照你这样传输的形式,做特殊的解析。并且文本在传输过程中是相比二进制效率低的,那么对于我们动辄几十M几百M的文件来说是速度是更慢的 multipart/form-data? 以二进制进行传输 application/x-www-form-urlenco 此类型不适合用于传输大型二进制数据或者包含非ASCII字符的数据。平常我们使用这个类型都是把表单数据使用url编码后传
文件上传限制类型参考
shengjon的博客
03-16 1502
【代码】文件上传限制类型参考。 在上传文件过程中,设计需求上这边总是需要对上传文件进行限制和判断,避免用户的盲操作,导致上传文件类型不对后,无法得到正确的信息,造成不好的体验影响,所以在页面上我们需要对文件类型判断
office 所有后缀对应的 content-type
chris
12-27 585
office 所有后缀对应的 content-type 文件后缀 MIME TYPE .doc application/msword .dot application/msword .docx application/vnd.openxmlformats-officedocument.wordprocessingml.document .dotx application/...
文件上传类型总结
qq_24196029的博客
08-29 1695
1.前端代码 2.逻辑绕过 3.文件内容检测 4.文件包含、文件备份 5.网站后台 6.容器及语言特性 7.畸形报文 8.系统特性 9.SQLI方面
各种文件上传方式
afftl7302的博客
04-26 244
上传文件 1、Form表单上传 接下来我们使用HTML标签来创建文件上传表单,以下为要注意的点: form表单method属性必须设置为POST方法 ,不能使用 GET 方法。 form表单enctype属性需要设置为multipart/form-data。   enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码。默认地,表单数据会编码为...
在spring项目中如何根据文件判断文件上传类型
05-27
在Spring项目中可以通过以下步骤根据文件判断文件上传类型: 1. 添加依赖:在pom.xml文件中添加commons-io依赖,用于读取文件头。 ```xml <groupId>commons-io <artifactId>commons-io <version>2.6 ``` 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值