php硬编码,PHP 使用硬编码检测文件 MIME

最新推荐文章于 2021-05-19 16:02:10 发布
最新推荐文章于 2021-05-19 16:02:10 发布
阅读量232 收藏
点赞数
文章标签: php硬编码

很多系统重需要使用到文件上传功能,如果有人故意将文件的后缀名改成符合要求的文件,比如.exe改成.jpg文件,这样可以上传文件,但是却有别攻击的风险。我们可以根据文件的硬编码来检测文件的MIME类型,这样文件的类别就不会出错。

主要思路是读取文件头的钱4个字节,参考文件硬编码,进行匹对:

namespace App\Services\Tools;

use App\Services\BaseService;

class FileService extends BaseService

{

public function fileCheck($file)

{

$mime_type = null;

$file_ext = null;

$origin_ext = null;

if(is_uploaded_file($file)) {

$mime_type = $this->getFileMIME($file);

$file_ext = $this->getFileExt($mime_type);

$ext = $file->getClientOriginalExtension();// 获取文件的扩展名

if($file_ext == "type_error"){

throw new Exception('文件类型不支持,请重试');

}

$origin_ext = $this->fileExtCheck($file_ext, $ext); // 对文件扩展名验证

}else{

$_FILES ['temp'] ['error'] = 6;

}

$this->fileUploadCheck($_FILES); // 文件上传验证

if(!empty($mime_type)){

return ["mime"=>$mime_type,"ext"=>$origin_ext];

}else{

throw new InternalServerError(50513);

}

}

// 读取文件获取MIME_TYPE

function getFileMIME($filename)

{

$file = fopen($filename, "rb");

$bytes4 = fread($file, 4);

fclose($file);

$strInfo = @unpack("C4chars", $bytes4);

$typeCode = dechex($strInfo ['chars1']) .

dechex($strInfo ['chars2']) .

dechex($strInfo ['chars3']) .

dechex($strInfo ['chars4']); //把十进制转换为十六进制。

switch ($typeCode) //硬编码值查表

{

case "ffd8ffe0" :

case "ffd8ffe1" :

case "ffd8ffe2" :

$type = 'image/jpeg; charset=binary';

break;

case "89504e47" :

$type = 'image/png; charset=binary';

break;

case "47494638" :

$type = 'image/gif; charset=binary';

break;

case "504B0304" :

$type = 'application/zip; charset=binary';

break;

case "25504446" :

$type = 'application/pdf; charset=binary';

break;

case "5A5753" :

$type = 'application/swf; charset=binary';

break;

case "3c3f786d" :

$type = 'application/xml; charset=binary';

break;

case "3c68746d" :

$type = 'application/html; charset=binary';

break;

case "0000" :

$type = 'text/plain; charset=binary';

break;

case "2166756e" :

$type = 'application/x-javascript; charset=binary';

break;

default :

$type = 'application/octet-stream; charset=binary';

break;

}

return $type;

}

// 获取文件扩展名

function getFileExt($type) {

switch ($type) {

case "image/jpeg; charset=binary" :

$extType = "jpeg|jpg|jpe";

break;

case "image/png; charset=binary" :

$extType = "png";

break;

case "image/gif; charset=binary" :

$extType = "gif";

break;

case "application/zip; charset=binary" :

$extType = "zip";

break;

case "application/pdf; charset=binary" :

$extType = "pdf";

break;

case "application/swf; charset=binary" :

$extType = "swf";

break;

case "application/xml; charset=binary" :

$extType = "xml";

break;

case "application/html; charset=binary" :

$extType = "html";

break;

case "text/plain; charset=binary" :

$extType = "txt";

break;

case "application/x-javascript; charset=binary" :

$extType = "js";

break;

default :

$extType = "type_error";

break;

}

return $extType;

}

// 文件扩展名验证

function fileExtCheck($muti_ext, $ext)

{

$muti_ext = explode('|',$muti_ext);

if(in_array($ext, $muti_ext)){

return $ext;

}else{

return current($muti_ext);

}

}

// 文件上传验证

function fileUploadCheck($file_error)

{

if ($file_error['temp']['error'] > 0) {

$error_mag = 'Error: ';

switch ($file_error['temp']['error']) {

case 1 :

$error_mag = $error_mag.'上传文件过大,请重试';

break;

case 2 :

$error_mag = $error_mag. '上传文件过大,请重试';

break;

case 3 :

$error_mag = $error_mag. '文件上传丢失,请重试';

break;

case 4 :

$error_mag = $error_mag. '无文件被上传,请重试';

break;

case 6 :

$error_mag = $error_mag. '文件类型不支持,请重试';

break;

case 7 :

$error_mag = $error_mag. '上传文件存储失败,请重试';

break;

}

throw new Exception($error_mag);

}

}

}

以上对 jpeg|jpg|jpe 、png、gif、zip、pdf、swf、xml、html、txt、js文件进行硬编码检测,其他的文件格式可以参考硬编码表添加就可以了。

本作品采用《CC 协议》,转载必须注明作者和本文链接

Ethan Smart & AI Algorithm

贫僧法号止尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在测试代码中硬编码测试数据
03-23
在前面的文章数据驱动测试里,讲到了将测试数据以及表现测试步骤的代码分开的技术。从测试的角度来看,固然希望能够覆盖的测试场景越多越好,但是在设计和编写自动化测试代码的时候,却又可以事先设计好一些固定的测试数据简化自动化测试代码的编写工作。   在前面的文章数据驱动测试里,讲到了将测试数据以及表现测试步骤的代码分开的技术。从测试的角度来看,固然希望能够覆盖的测试场景越多越好,但是在设计和编写自动化测试代码的时候,却又可以事先设计好一些固定的测试数据简化自动化测试代码的编写工作。   之所以要这样做(按照编程的术语讲是硬编码),是因为按照等价类划分,固定的测试数据一般都已经被其他测试用例覆盖了。请考
android硬编码h264
12-26
本篇文章将详细讲解如何使用Android的新API MediaCodec进行H264硬编码,并将编码后的数据发送到VLC播放器进行播放。 1. **MediaCodec API简介** MediaCodec是Android系统提供的一个核心组件,用于处理音频和视频的...
php硬编码,关于安全性:如何在PHP中保护硬编码的登录名/密码?
weixin_39541600的博客
03-10 197
我正在编写一个简单的PHP脚本来访问Foursquare API。 PHP将始终访问相同的Foursquare帐户。 目前,我的登录信息已硬编码在脚本中。 保护此信息的最佳方法是什么?如果我遵循此线程的建议,则应将登录信息放在网站根目录之外的配置文件中:如何在PHP中保护数据库密码?这是最好的建议吗? 还是有更好的方法来保护登录信息?当然,最好的方法是根本不存储它。如果不能这样做,请将其存储在PH...
php 绑定 mime,PHP-如何使用MIME验证文件
weixin_42299494的博客
04-07 122
我想使用php验证服务器中的文件类型.现在,我已经通过检查文件文件扩展名类型对其进行了验证.这可以正常工作,但是问题在于,这不是验证用户身份的最佳方法,因为更改使用户可以将文本文件转换为jpeg,并且仍然可以上传.因此,我想做的是添加另一种验证方法,我还想使用php检查文件MIME类型,以识别文件是图像,视频还是音频.所以我的问题是如何编码,以便可以在php使用MIME类型来验证文件?另外,...
硬编码
TracyLiul的专栏
03-09 732
硬编码对于程序员来说都不陌生,只是个很简单的概念,但是它却常常出现在N多程序中.在开发的时候,开发人员有时候图方便,赶进度,或者想不到更好的方法,只好将某些业务逻辑固定死,常见如下判断if (a == "拟制中") { ....}也许好一些的会用数字代替 比如用个"02"代替,也许程序跑个1两个月甚至一两年都没问题但是需求更改或者用户环境变化了,那问题就会暴露,而且影响
Android音频视频硬编码和解码_MediaCodec
12-26
1. 创建MediaCodec对象:通过指定编码或解码的MIME类型(如"video/avc" for H.264视频或"audio/mp4a-latm" for AAC音频)。 2. 输入数据:对解码器来说,输入的是编码后的字节流;对编码器来说,输入的是原始的音...
如何正确配置Nginx + PHP
10-21
4. `SCRIPT_FILENAME`:不应该硬编码,而是使用`$document_root$fastcgi_script_name`,以保持灵活性。 5. 安全性:确保PHP的`cgi.fix_pathinfo`设置为`0`,防止恶意文件访问。 正确的配置可以这样写: ```nginx ...
php 获取文件名后缀和创建文件方法
12-30
这种硬编码的路径可能会导致跨平台问题,建议使用相对路径或更灵活的路径处理方式。 3. **异常处理**:在文件操作过程中,如目录创建失败或文件移动失败,应有适当的错误处理机制,如抛出异常或记录日志。 ### 总结...
常用的MIME TYPE类型枚举类Enum整理 静态方法直接检索使用
最新发布
06-03
易用性:采用枚举类型设计,避免了硬编码带来的困扰,使代码更加清晰、易于理解和维护。 高度定制:支持轻松添加自定义MIME类型,满足特定项目需求,无需担心未来格式的兼容性问题。 性能优化:由于使用了枚举而非...
C语言硬编码,主机测试带有硬编码内存地址的C程序
weixin_35801916的博客
05-19 138
我们将编写C代码的功能/单元测试.该C程序将作为嵌入式软件运行.但是,我们需要在Linux环境中运行测试.问题是被测代码的部分内容如下所示:my_addresses.h:#define MY_BASE_ADDRESS (0x00600000)#define MY_OFFSET_ADDRESS (0x108)my_code.c#include "my_addresses.h"static...
php获取文件mime类型,PHP如何获取文件mime类型?(代码示例)
weixin_29016865的博客
03-09 345
PHP中可以使用内置函数mime_content_type()函数来获取文件mime类型,下面本篇文章就来带大家了解一下mime_content_type()函数,看看mime_content_type()函数是如何获取文件mime类型的。me_content_type()函数PHP中的内置函数,用于获取文件MIME内容类型。基本语法:string mime_content_type( $...
php判断上传文件,php判断上传文件文件类型的安全方法
weixin_39656853的博客
03-10 226
使用 php 进行文件的上传和存储时,很多人都会给文件进行重名命并保存到可写文件夹下,然后我们在其中一个失误的地方便是采用上传文件的扩展名作为判断文件类型的依据。这样做其实与后门大开无异,举一个简单的例子,通过扩展名判断一般是字符串的截取判断,或者是使用$_FILE数组判断,然后如果用户上传的文件名为 image.php.png, image.png.php, image.php%****.pn...
java中word导入数据库
jia814583973的博客
12-02 4581
java中word导入数据库 前言 > word导入到数据库主要是对word的解析,word分为2003版、2007版以上,还有xml格式的,2003和2007以上的主要是对单元格内容进行判断,进行获取;而xml格式的主要是对标签进行解析,根据标签去内容,进行判断;下面三种的解析方法都有: 1.直接附代码了 //导入word @RequestMapping("/wordImp...
读取application/binary 是什么类型的文件
u012089657的专栏
09-16 4387
/**  * File:ReadWriteBF.java  * -------------------------  * Read from a large txt file ,have 1000000 data, and create a binary file;  * Then Read created binary file, write a binary file again  
软编码和硬编码概念的区分与背后设计思想?
weixin_33982670的博客
04-10 447
昨天在查看NHibernate一个帮助文档中,涉及到通过嵌入式读取配置文件消除对应用程序中对文件名的硬编码,第一次听说硬编码名词概念,在CSDN看到一些人对于这些概念的讨论,与硬编码对应的是软编码,对于硬编码和软编码定义其实是相对而言的,如果你了解这些名词,应该能够感觉其实与应用程序的设计上时异曲同工.  举一个实例: 硬编码主要是关联很紧密的结构,而软编码是关联比较松的。从实现的层次上,也就是...
H265硬编码demo
06-07
以下是一个使用H.265硬编码的Android Camera示例: ``` import android.media.MediaCodec; import android.media.MediaCodecInfo; import android.media.MediaFormat; import android.media.MediaMuxer; import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值