我想在上传文件之前在 Symfony3 上验证文件扩展名。到目前为止,我正在使用这段代码(这是一个简化版本,仅用作片段):
if ($form->isSubmitted() && $form->isValid()) {
$form->handleRequest($request);
$file = $form->get('file')->getData();
$ext = $file->guessExtension();
if($ext !== 'myextension' ){
die('not allowed');
}
$name = md5($file->getClientOriginalName().time());
$full_name = $name.'.'.$ext;
$dir = __DIR__.'/../../../web/upload';
$file->move($dir,$full_name);
}
问题是:文件是否会上传到临时目录中?这安全吗?有更好的方法吗?我最担心的是有人尝试上传二进制文件或脚本。谢谢
编辑(感谢 Gabriel Diez):该文件是实体的属性。我使用断言来声明它:
/**
* @Assert\File(maxSize="20M")
*/
private $file;
最佳答案
我认为更好的方法是使用 Symfony 来保护它。由于此文件是实体的一部分,因此您可以使用 Assert/File 注释来添加一些约束和安全性。
/**
* @Assert\File(
* maxSize = "20M",
* mimeTypes = {"application/pdf", "application/x-pdf"},
* mimeTypesMessage = "Please upload a valid PDF"
* )
*/
private $file;
有了这个,Symfony 将在服务器端处理这个问题,如果类型不允许,则向用户返回错误。此外,通过此方法,您可以确保用户只能上传可用类型的文件。
关于php - 在 Symfony3 上验证文件扩展名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45495285/