1、上传的时候不依靠Content-Type来做文档类型验证,可以参考我在这里的回答如何判断浏览器上传文件的真实类型?
如果是图片可以通过 getimagesize() 获取图片的 mime,这样便不依赖
普通文件可以通过:
1. finfo 扩展
2. mime_content_type()
3. 调用linux命令 exec("file -bi ".escapeshellarg($this->file_src_pathname))来检测
选择合适的一种检测文档类型已经够用了。
图片上传的安全性主要在下载展示的时候,如果它是一段脚本<script>alert(1)</script>伪造成image/jpg,浏览器会将其解释为html而不是图片,从而执行非法脚本。
以上检测手段可以避免这种情况
2、上传的图片文件放到web 目录外的地方,限定好权限,图片展示的时候,可以使用另一个域名。
3、强制服务器给静态文件发送正确的文件头,避免图片中的代码被执行
参考http://nullcandy.com/php-image-upload-security-how-not-to-do-it/
Apache的ForceType
指令:
ForceType application/octet-stream
<FilesMatch "(?i)