MIME類型欺騙

Question

在php中檢查MIME類型是非常容易的，但據我所知MIME可以被欺騙。攻擊者可以上傳一個php腳本，例如jpeg mime類型。想到的一件事是檢查上傳文件的文件擴展名，並確保它與MIME類型相匹配。所有這一切都假設上傳目錄是瀏覽器可訪問的。

問題：有沒有其他技術可以防止「壞文件」進入MIME類型欺騙？

Answer 1

簡短的回答：第

較長的答案：

擴展比較，並確保它的MIME類型並沒有真正阻止任何匹配。正如評論中所述，修改文件擴展名更容易。 MIME類型和擴展只能作爲提示，並不存在固有的安全性。

確保傳入文件不會造成傷害，這取決於您的目標是什麼。在你的情況下，我明白你正在期待圖像。因此，您可以首先執行一些完整性檢查：掃描前幾個字節以查看文件是否包含相關的圖像標頭簽名 - 所有相關的圖像格式都具有這些簽名。

「簽名標題」可幫助您決定文件嘗試模擬的圖像格式。在下一步中，您可以檢查其餘內容是否與底層圖像格式兼容。這可以保證你的文件真的是一個特定格式的圖像文件。

但即便如此，該文件可能被細心的方式，當顯示圖像，使用了流行的庫來顯示圖像製作（如libpng的等）會碰上一個緩衝區溢出，攻擊者在發現圖書館。

不幸的是，除了根本不允許來自客戶端的任何輸入外，沒有辦法主動防止這種情況。

Answer 2

檢查擴展名。

<?php 

$okFiles = array('jpg', 'png', 'gif'); 

$pathInfo = pathinfo($filename); 

if(in_array($pathInfo['extension'], $okFiles)) { 
    //Upload 
} 
else { 
    //Error 
} 

?> 

你也可以像你說的那樣檢查擴展名是否匹配MIME類型，但是檢查擴展名更容易。

Btw爲什麼你關心MIME類型？

Answer 3

在圖像

• 檢查擴展與那些允許的列表（如「.JPG」，「.JPEG」，「png格式」）的情況下
• 檢查上傳的文件本身在文件上運行getimagesize，如果它不是圖像，它將返回FALSE。

其他類型的上傳

• 檢查允許的擴展（如 「.PDF」）
• 檢查文件的MIME類型對應的擴展

樣品代碼：

function getRealMimeType($filename) { 
    $finfo = new finfo(FILEINFO_MIME, "/usr/share/misc/magic"); 
    if (!$finfo) { 
     echo "Opening fileinfo database failed"; 
     return ""; 
    } 
    return $finfo->file($filename); 
} 

請參閱finfo_file文檔。