Как проверить тип файла по его расширению?

Question

Как проверить тип файла по его расширению?

1

Я хочу создать сценарий загрузчика, и я хочу определить несколько разрешенных типов файлов для загрузки, чтобы предотвратить трюк, переименовав расширение файла. Я использую этот массив: PHP/Mime Types. Список доступных типов mime? сначала он проверяет, разрешено ли расширение файла (например,.xsl), затем оно использует finfo для получения mimtype для проверки с этим массивом, чтобы увидеть, соответствует ли mimetype расширению.

Я загрузил файл.xsl, finfo извлекает тип файла как application/octet-stream, но этот массив для расширения xsl возвращает application/x-msexcel, поэтому он не будет равен и не будет проверен.

Должен ли я действительно забыть о сопоставлении mimetype с расширителем валидатора имени для скрипта, и я должен просто проверить расширения файлов? или что мне делать?

user4271704 13 нояб. 2015, в 16:28

Источник

0

как вы убедились, что тип файла «application / octet-stream», если вы сделали это в массиве файлов, это ненадежно, его можно легко подделать. Заголовок типа файла "application / octet-stream" отправляется, если ни один не распознан. это не всегда означает, что загруженный файл относится к этому типу. Вы должны проверить загруженный файл, а не массив $ _FILES для mime-типов
swidmann 13 нояб. 2015, в 14:47
0

Октет-поток возвращается из finfo :: buffer. Затем я получил mimetype расширения xsl из массива, это был x-msexell, поэтому они не были равны. Как я должен проверить mimetype файла по расширениям, чтобы избежать переименования трюк? Разрешены только предоставленные списки расширений, поэтому кто-то может переименовать его и загрузить. Как проверить?
user4271704 13 нояб. 2015, в 15:13
0

ну, я думаю, ты дал мне подсказку. Я использовал finfo :: buffer, так что ненадежный, я изменил его на file_open с физическим файлом, и теперь он возвращает application / vnd.ms-excel вместо octet-stream, как и ожидалось. но теперь другая проблема: как проверить, является ли это разрешенным файлом, когда я переименовал имя файла в .txt для хитрости загрузки? Должен ли я использовать array_exists для передачи этого типа, чтобы получить ключ массива как .xsl, чтобы увидеть, что это запрещено?
user4271704 13 нояб. 2015, в 15:39
0

ну, я думаю, что это точка проверки. если тип mime - application / vnd.ms-excel, то это должен быть файл с расширением excel, в противном случае проверка типа mime будет защищена только наполовину :)
swidmann 13 нояб. 2015, в 15:58
0

Как правило, вы предлагаете проверить расширения против mimtype друг против друга, чтобы предотвратить трюк с переименованием? Или это будет чепуха и пустая трата времени, и только проверка расширений достаточна, чтобы разрешить загрузку?
user4271704 13 нояб. 2015, в 19:29
1

Я сделал этот массив pastebin.com/d4ZQBe5A или gist.github.com/nimasdj/801b0b1a50112ea6a997 , соединив все следующие списки + расширение .php, которое отсутствует во всех из них. Пожалуйста, внесите свой вклад в этот список, чтобы сделать его максимально точным и полным. gist.github.com/plasticbrain/3887245 pastie.org/5668002 pastebin.com/iuTy6K6d всего: 1223 добавочных номеров по состоянию на 16 ноября 2015 года
user4271704 16 нояб. 2015, в 12:34

Показать ещё 4 комментария

Теги:

php

mime-types

mime

file-type

1 ответ

Ещё вопросы

как вы убедились, что тип файла «application / octet-stream», если вы сделали это в массиве файлов, это ненадежно, его можно легко подделать. Заголовок типа файла "application / octet-stream" отправляется, если ни один не распознан. это не всегда означает, что загруженный файл относится к этому типу. Вы должны проверить загруженный файл, а не массив $ _FILES для mime-типов
Октет-поток возвращается из finfo :: buffer. Затем я получил mimetype расширения xsl из массива, это был x-msexell, поэтому они не были равны. Как я должен проверить mimetype файла по расширениям, чтобы избежать переименования трюк? Разрешены только предоставленные списки расширений, поэтому кто-то может переименовать его и загрузить. Как проверить?
ну, я думаю, ты дал мне подсказку. Я использовал finfo :: buffer, так что ненадежный, я изменил его на file_open с физическим файлом, и теперь он возвращает application / vnd.ms-excel вместо octet-stream, как и ожидалось. но теперь другая проблема: как проверить, является ли это разрешенным файлом, когда я переименовал имя файла в .txt для хитрости загрузки? Должен ли я использовать array_exists для передачи этого типа, чтобы получить ключ массива как .xsl, чтобы увидеть, что это запрещено?
ну, я думаю, что это точка проверки. если тип mime - application / vnd.ms-excel, то это должен быть файл с расширением excel, в противном случае проверка типа mime будет защищена только наполовину :)
Как правило, вы предлагаете проверить расширения против mimtype друг против друга, чтобы предотвратить трюк с переименованием? Или это будет чепуха и пустая трата времени, и только проверка расширений достаточна, чтобы разрешить загрузку?
Я сделал этот массив pastebin.com/d4ZQBe5A или gist.github.com/nimasdj/801b0b1a50112ea6a997 , соединив все следующие списки + расширение .php, которое отсутствует во всех из них. Пожалуйста, внесите свой вклад в этот список, чтобы сделать его максимально точным и полным. gist.github.com/plasticbrain/3887245 pastie.org/5668002 pastebin.com/iuTy6K6d всего: 1223 добавочных номеров по состоянию на 16 ноября 2015 года

swidmann · Accepted Answer · 2015-11-13T19-27-00.000Z

В основном вы делаете это правильно. Вы никогда не должны полагаться на заголовки типа mime, которые отправляются из формы загрузки, потому что вы можете легко их подделать или ее нет, тогда вы часто будете получать заголовок application/octet-stream.

Поэтому было бы неплохо проверить, соответствует ли расширение файла разрешенному типу mime для этого расширения файла.

Я видел, что вы связали этот список здесь. Это, безусловно, хороший список, но не очень полезный для php, потому что в массиве слишком много ovverriden, например:

$mimeTypes = array(
    'xlm' => 'application/vnd.ms-excel',//overridden
    'xlm' => 'application/x-excel',
    'xls' => 'application/excel',//overridden
    'xls' => 'application/vnd.ms-excel'
);

var_dump( $mimeTypes );

Это будет выводить только два значения вместо четырех, вы должны использовать такой массив:

$mimeTypes = array(
    'xlm' => array( 'application/vnd.ms-excel', 'application/x-excel' ),
    'xls' => array( 'application/excel', 'application/vnd.ms-excel' ),
    'txt' => array( 'text/plain' )
);

var_dump( $mimeTypes );

Поэтому вы можете просто проверить тип mimetype с помощью in_array(), если у вас уже есть расширение файла.

Это базовый пример, который вы могли бы решить. ПРИМЕЧАНИЕ. Это не рабочий пример, но я думаю, вы знаете, где я хочу указать:

// you have your file, you said it´s excel but you uploaded it with extension txt
$filepath = "excel.txt";

if( strpos( $filepath, '.' ) === false ) {
    // no file extension
    // return ?
}
// get the file extension
// well there is surely a better way
$filenameParts = explode( ".", $filepath );
$fileExt = array_pop( $filenameParts );// return the las element of the array and REMOVES it from the array

// your fopen stuff to get the mime type
// ok let´s say we are getting back the follwing mime type
$fileMimeType = 'application/vnd.ms-excel';

// now check if filextension is in array and if mimetype for this extension is correct
if( isset( $mimeTypes[$fileExt] ) && in_array( $fileMimeType, $mimeTypes[$fileExt] ) ) {
    // file extension is OK AND mime type matches the file extension
} else {
    // not passed unknown file type, unknown mime type, or someone tricked you
    // your excel.txt should end up here
}

Как насчет файлов без расширения? Как вы запрещаете / разрешаете их загрузку?
Для размера файла надежно ли использовать mb_strlen в $ _FILES? Или следует использовать только размер файла на физическом файле?
некоторые расширения, такие как .docs .docx .xlsm ..... там не перечислены. Можете ли вы помочь добавить их, пожалуйста?
Я сделал этот массив pastebin.com/d4ZQBe5A , соединив все следующие списки + расширение .php, которое отсутствует во всех них. Пожалуйста, внесите свой вклад в этот список, чтобы сделать его максимально точным и полным. gist.github.com/plasticbrain/3887245 pastie.org/5668002 pastebin.com/iuTy6K6d всего: 1223 добавочных номеров по состоянию на 16 ноября 2015 года
Я обновил ответ и добавил условие: strpos( $filepath, '.' ) === false , здесь вы можете повторить false или что-то еще, если нет расширения файла, это также позволит избежать этого, если сам файл с именем "xls", для размера файла я не могу дать вам хороший совет, потому что я не имею ни малейшего понятия о безопасности file_size в этом контексте, я всегда использую размер файла из массива $ _FILES, у меня не было проблем с этим
Я думаю, что у меня нет времени на это, но, возможно, вы можете загрузить его на свой аккаунт git (если у вас есть), чтобы люди могли раскошелиться или внести свой вклад. Кстати, у вас есть Docx в строке 209