本帖最后由 huawei 于 2017-3-5 10:35 编辑
文件上传之识别文件伪装
PHP学院 教学总监 孙静
在web开发过程中文件上传是不可绕过的话题,上传文件的时候需要验证上传的文件是否合法。通常情况下使用文件扩展名和文件类型来验证是不能识别文件伪装的,我们需要使用php_fileinfo.dll扩展来识别文件伪装。
我们来测试一下,首先准备好文件上传的表单:
[HTML] 纯文本查看 复制代码
图片上传:
然后我们在做一个用记事本伪装的图片
1、我们在硬盘上新建一个记事本文件
图片1.png (1.21 KB, 下载次数: 131)
2016-12-17 21:43 上传
2、将记事本改为“image.jpg”
图片2.png (1.02 KB, 下载次数: 158)
2016-12-17 21:43 上传
这时候从外观上看起来是个图片,但实际上是个记事本文件,此时我们成功将记事本伪装成图片
下面我们来验证一下那种方法可以识别文件伪装
1.1.1 方法一:通过获取文件路