php文件上传绕过mime类型,PHP文件上传操作实例详解(包含上传文件类型MIME验证)...

最新推荐文章于 2023-01-16 15:37:31 发布
最新推荐文章于 2023-01-16 15:37:31 发布
阅读量363 收藏
点赞数
文章标签: php文件上传绕过mime类型

本文实例分析了PHP文件上传操作。分享给大家供大家参考,具体如下:

文件上传

发生在浏览器向服务器发出的请求中。

文件,对于浏览器来讲,就是表单中的一个特殊类型的数据而已。

浏览器表单中的数据,两种类型:

字符串类型(字节流编码)

文件类型(二进制编码),文件是表单数据中一部分

服务器角度:

在接受浏览器请求时,处理好表单内的数据。根据数据类型不同使用不同处理方法:

字符串类型,存储在$_POST变量中(内存)

文件型数据,存储在上传临时目录中

表单提交时,浏览器会默认的行为:

表单内的的内容都是字符串类型,即使添加了文件域,需要在form上增加属性,告知浏览器上传的不止有字符串类型数据。enctype="multipart/form-data"

?

1

2

3

4

5

6

7

action="upload.php"

method="post"

enctype="multipart/form-data">

type="file"

name="file">

type="submit"

value="submit">

php服务器在接收到文件类型的表单数据后,将文件存储于临时目录(属于临时文件,脚本周期内有效)

?

1

2

3

4

; Temporary directory

for HTTP uploaded files (will use system default

if not

; specified).

; http://php.net/upload-tmp-dir

;upload_tmp_dir =

将临时文件持久化存储

?

1

move_uploaded_file(src_url,goa_url)

$_FILES,存储了上传文件的信息包括临时地址

4c67054ee18784a368380fcb5ffd49d9.png

错误类型:

0-1-2-3-4-6-7

0表示没有错误

1表示文件大于php的设置

?

1

2

3

; Maximum allowed size

for uploaded files.

; http://php.net/upload-max-filesize

upload_max_filesize = 2M

2表示文件大于表单设置max_file_size

?

1

type='hidden'

name='MAX_FILE_SIZE'

value='1024'>

3表示文件上传不完整

4表示没有上传文件

5表示逻辑上上传了0字节的文件(空文件)

6表示没有找到临时上传目录(权限不足)

7表示文件写入失败(磁盘空间、权限)

php允许的最大上传文件数量

?

1

2

; Maximum number of files that can be uploaded via a single request

max_file_uploads = 20

post存在最大值限制

一旦超过,php就不能正常处理post与file值可能为空值

?

1

2

3

; Maximum size of POST data that PHP will accept.

; http://php.net/post-max-size

post_max_size = 8M

类型检测中

后缀名与mime都是浏览器提供的,需要php的扩展fileinfo完成对文件信息的检查(函数过程与面向对象)

;extension=php_fileinfo.dll

?

1

2

$finfo

= new

Finfo(FILEINFO_MIME_TYPE);

$mine_type

= $finfo->file($file['tmp_name']);

分子目录存储上传文件

原则:业务逻辑、文件数量、时间

创建目录 mkdir()

检查目录 is_dir()

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

upload($_FILES['file']);

function

upload($file){

if($file['error']!=0){

return

false;

}

//3M

$max_size

= 3145728;

if($max_size

return

false;

}

//设置一个后缀名与mime的映射关系

$type_map

= array(

'.jpeg'=>array('image/jpeg','image/pjpeg'),

'.jpg'=>array('image/jpeg',

'.png'=>array('image/png','image/x-png'),

'.gif'=>array('image/gif')

);

//后缀

$allow_ext_list

= array('.jpeg','.png','.jpg');

$ext

= strtolower(strrchr($file['name'],'.'));

if(!in_array($ext,$allow_ext_list)){

echo

'不支持该图片格式';

return

false;

}

//MIME

$allow_mime_list

= array();

foreach($allow_ext_list

as $val){

$allow_mime_list

= array_merge($allow_mime_list,$type_map[$val]);

}

//浏览器提供信息坚持

$allow_mime_list

= array_unique($allow_mime_list);

if(!in_array($file['type'],$allow_mime_list)){

echo

'不支持该图片格式';

return

false;

}

//php自身检查

$file_mime

= new

Finfo(FILEINFO_MIME_TYPE);

$mime

= $file_mime->file($file['tmp_name']);

if(!in_array($mime,$allow_mime_list)){

echo

'不支持该图片格式';

return

false;

}

//目录存储

$up_loadpath

= './';

$sub_dir

= date('Ymdh');

if(!is_dir($up_loadpath.$sub_dir)){

mkdir($up_loadpath.$sub_dir);

}

$prefix

= 'bee_';

$name

= uniqid($prefix,true).$ext;

if(move_uploaded_file($file['tmp_name'],$up_loadpath.$sub_dir.$name)){

echo

'上传成功';

return

$name;

}else{

echo

'上传失败';

return

false;

}

}

更多关于PHP相关内容感兴趣的读者可查看本站专题:《php文件操作总结》、《PHP数组(Array)操作技巧大全》、《PHP基本语法入门教程》、《PHP运算与运算符用法总结》、《php面向对象程序设计入门教程》、《PHP网络编程技巧总结》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

weixin_39835117
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java contenttype音频_java 下载文件到本地,输出样式 header(‘Content-Type:application/xxx’) | 学步园...
weixin_29669143的博客
02-16 297
'ez' => 'application/andrew-inset','hqx' => 'application/mac-binhex40','cpt' => 'application/mac-compactpro','doc' => 'application/msword','bin' => 'application/octet-stream','dms' =&gt...
php获取文件mime方法
Renew全栈开发工程师
09-16 396
#注意 fileinfo是php7扩展,必须要安装fileinfo,可以查看这篇文章进行安装 一、获取文件mime代码 $finfo = finfo_open(FILEINFO_MIME); $mimetype = finfo_file($finfo, $filename); finfo_close($finfo); echo $mimetype; 二、获取文件数据mime代码 $finfo = finfo_open(FILEINFO_MIME); $mimetype = finfo_buff
php后缀名的mime类型_php实现获取文件mime类型的方法
weixin_31089065的博客
03-08 222
本文实例讲述了php获取文件mime类型的方法。分享给大家供大家参考。具体如下:1.使用 mime_content_type 方法?Returns the MIME content type for a file as determined by using information from the magic.mime file.?但此方法在 php5.3 以上就被废弃了,官方建议使用 file...
php 文件mime 类型,php 上MIME类型
weixin_30813385的博客
03-13 173
一下是文件后缀与MIME类型的对照表​123application/vnd.lotus-1-2-33gpvideo/3gpp​A开头:​aabapplication/x-authoware-bin​aamapplication/x-authoware-map​aasapplication/x-authoware-seg​aiapplication/postscript​aif audio/x-ai...
php文件mime类型大全
weixin_34191734的博客
06-10 215
一些题外话,抱怨一下,不要介意。还是进入正题吧,我这里讨论很浅,仅仅是思路,以上txt格式的文件为例,深层次的扩展这里就不讨论了,因此这篇文章只适合PHP初学者,对高手来说可能没有什么意义。好,我们开始。首先要建立一个文件夹和两个文件,具体如下:File              —————— 文件夹,用于存放上文件。choose.htm   —————— htm文件,用于选择上文件。u...
PHP文件操作实例详解
12-18
PHP中,文件是一个常见的任务,特别是在构建Web...总之,PHP文件涉及HTML表单设置、服务器端配置、错误检查、文件类型验证以及文件的持久存储。理解这些概念和操作步骤是实现安全、高效文件功能的关键。
php判断文件图片格式的实例详解
12-19
在处理文件时,除了验证文件类型外,还需要注意以下几点: 1. 检查文件大小,防止过大文件导致服务器资源耗尽。 2. 限制上文件MIME类型,确保只接受安全的文件。 3. 使用随机生成的文件名存储上文件,...
PHP文件实例详解
12-19
4. `$typeArr`:一个包含允许上文件类型的数组,例如常见的图像格式。 5. `$path`:文件保存的完整路径。 6. `$today`:以当前日期创建的子目录,用于分类存储每天的上文件。 7. `$name`:上文件的原始名称...
PHP封装的多文件实例与用法详解
10-20
初始化上类,设置允许上文件类型及大小$upload = new UploadFile($_FILES['myfile'], './uploads/', 500000, array('jpg', 'png', 'gif'));//2. 开始上,返回上成功的文件数量成功数量 = $upload->upload...
php文件的例子及参数详解
12-19
本文将详细讲解PHP文件实例以及涉及的关键参数。 首先,一个基本的HTML上表单如下: ```html <form enctype="multipart/form-data" action="upload.php" method="post"> 上文件"> ``` 在这个表单...
MimeType:改进了对 fileinfo 的 mime_type 检测,而不依赖于任何系统实用程序(例如 Linux file 命令)
06-27
#MimeType 改进了对 finfo 的 mime_type 检测,而不依赖于任何系统实用程序(例如 Linux file 命令)。 使用 Apache 存储库中 mime 类型的本地缓存副本: ##安装 ###使用作曲家 编辑 composer.json 并添加: "brianreeve/mime-type": "dev-master" ##用法 use BrianReeve/MimeType/MimeType; $mimeType = MimeType::detect($path); 检测方法首先在 Apache 的列表中按扩展名查找匹配项,然后尝试 finfo,最后默认为 text/plain。 ##更新到最新 要更新缓存,请运行 php src/BrianReeve/MimeType/Utils/generate_mime_types_array.php 更新的
【web安全】——文件绕过方式
最新发布
Demo不是emo的博客
01-16 1万+
文件绕过姿势汇总,持续更新中
关于finfo_file函数获取文件mime验证出错的问题
weixin_34143774的博客
05-11 376
今天在做图片上 验证图片mime值时 突然发现  个别特殊情况下finfo_file 获取的MIME值不能直接使用,依照官方的写法是 $finfo=finfo_open(FILEINFO_MIME); $mime=finfo_file($finfo,$file_path); finfo_close($finfo); alert($mime);这样子获得文件mime类型的可是今天发现这...
php绕过,文件验证绕过技术总结
weixin_42563415的博客
03-12 3218
1.客户端验证绕过很简单啦,直接使用webscarab或者burp修改一下后缀名就行。2.服务端验证绕过-Content-type检测若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content-type。如php中 if($_FILES['userfile']['type'] != “image/gif”) 即是检测Content-ty...
php得到文件类型mimetype
xieye114的专栏
06-17 717
注意:大前提,已安装插件fileinfo [code="php"] function get_mimetype($filename){ if (is_file( $filename )) { $finfo = new \finfo(FILEINFO_MIME); $mimetype = $finfo->file($filename...
php 获取文件mime类型的方法
热门推荐
傲雪星枫
12-25 3万+
php 获取文件mime类型的方法 1.使用 mime_content_type 方法 2.使用 Fileinfo 方法 (官方推荐) 3.使用 image_type_to_mime_type 方法(只能处理图象类型)
PHPMIME
jiet07的博客
11-18 1102
MIME的定义 MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件拓展类型MIME设计的最初目的 MIME意为多功能Internet邮件扩展,它设计的最初目的是为了在发送电子邮件时附加多媒体数据,让邮件客户程序能根据其类型进行处理。然而当它被HTTP协议支持之后,它的意义就更为显著了。它使得HTTP输的不仅是普通的文本,而变得丰富多彩。 MIME文件格式 每个MIME类型由两部分组成,大类别+种类。 比如: 超文本标记语言文本 .html te
文件/JS/MIME/黑名单/白名单/htaccess/00截断详解篇[代码审计]
qq_60115503的博客
04-15 2139
文件漏洞定义 文件漏洞是指用户上了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,这种攻击方式是最为直接和有效的,"文件"本身没有问题,有问题的是文件后,服务器怎么处理,解析文件,如果服务器的处理逻辑做的不够安全,则会导致严重的后果 文件漏洞危害 上文件是web脚本语言,服务器的web容器解释并执行了用户上的脚本,导致代码执行 上文件是病毒或者木马时,主要用于诱骗用户或者管理员下载执行或者直接自动运行 ...
php中$_files的功能,php 中$_FILES 文件中重要函数
weixin_26950847的博客
03-18 1388
$_files["file"]["name"] - 被上文件的名称$_files["file"]["type"] - 被上文件类型$_files["file"]["size"] - 被上文件的大小,以字节计$_files["file"]["tmp_name"] - 存储在服务器的文件的临时副本的名称$_files["file"]["error"] - 由文件导致的错误代码enctype...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值