PHP文件验证

Question

我正在为自己编写一个多文件上传功能。

问题是我要上传 .psd、.cdr、.indd、.cad 等文件。

我可以轻松检查文件是否为合法图像，但是否有类似的方法可以验证上述文件扩展名。

编辑问题不在于检查文件是否具有 psd、cdr 等扩展名。我需要能够验证文件是否是合法的 PSD 或 CDR 文件。

Answer 1

我真的不知道可以为您提供如此准确信​​息的 php 命令。以上都是基于可以被欺骗的文件扩展名。

如果你的 web 服务器运行在 *nix 系统上，你可以使用系统命令file

system("file $filePath");

这是可靠的，因为文件查找文件内容的头部（文件扩展名不会改变结果）。此命令特定于二进制文件。文本文件，比如sql，都是ascii。

如果您认为这是一种解决方案，请查看手册页并检查 file 的选项。

Answer 2

是和不是。

从文件名中提取扩展名是一个简单的字符串操作。
针对预定义扩展数组测试提取的扩展也不是一门火箭科学。

但是，在某些情况下，此类验证可能会危及您的网站安全。
如果您使用的是 Apache 网络服务器，它有一个非常特殊的习惯，即在多个文件中查找文件扩展名。
比如说，文件名image.php.cad 将由 Apache 使用默认设置作为 PHP 脚本执行。

为避免这种危险，要么根本不使用 Apache，而是在整个文件名中搜索 .php，或者以这种方式配置您的 PHP

<FilesMatch \.php$>
  SetHandler php5-script
</FilesMatch> 

（由http://verens.com/2008/10/13/security-hole-for-files-with-a-dot-at-the-end/ 提供）

Answer 3

使用FileInfo 功能获取接收文件的真实mimetype：

http://www.php.net/manual/en/intro.fileinfo.php

不要相信上传文件的扩展名，这是浏览器发送的数据，很容易伪造。假设输入文件没有名称，没有扩展名。

Answer 4

你可以使用函数pathinfo：

if ( pathinfo($_FILES['fileinput']['name'], PATHINFO_EXTENSION) == 'psd' ) {
    // do something...
}

要检查 mime 类型，请尝试使用 http://ru.php.net/manual/en/function.finfo-file.php

Answer 5

function endsWith($haystack, $needle)
{
    $length = strlen($needle);
    $start  = $length * -1; //negative
    return (substr($haystack, $start) === $needle);
}

if(!endWith($_FILES['file1']['name'],".psd") || !endWith(..)...){
   //Error! file extension not correct
}else{
    //correct!
}