我想让用户能够从远程 URL 复制或下载图像,或者从他们的计算机上传文件(可能包括 pdf 和 txt 文件等)。为此,我尝试了我的主机支持的 file_get_contents 和 curl。对于本地上传,我只使用 php。他们完成传输数据的基本工作。但是,我正在尝试找到验证文件内容的最佳方法,以避免传播恶意代码或用过大的文件加载我的服务器。
在许多情况下,文件将动态生成,因此不会以已知扩展名结尾,因此除了缺乏安全性之外,检查文件扩展名不是一种选择。
使用 header 中的 MIME 类型是一种选择,我有代码可以做到这一点。
$file_info = new finfo(FILEINFO_MIME); // object oriented approach!
$mime_type = $file_info->buffer(file_get_contents($file)); // e.g. gives "image/jpeg"
switch($mime_type) {
case "image/jpeg":
// your actions go here...
}
然而,模仿 mime 类型显然并不难。
一些帖子建议嗅出文件开头的魔数(Magic Number),但这些也可以被欺骗。
对于图片有限的情况,可以使用
$imginfo_array = getimagesize($tempFile);
据我所知,这不适用于 pdf、文档等。
即使把这些方法放在一起看起来也不是很可靠。然而,许多网站通常允许您上传、固定或以其他方式获取远程文件,并且以某种方式管理安全问题。
希望获得关于最佳安全和验证实践的建议——如 curl 与 file_get_contents 与 wd——以及在传输到我的服务器之前获取文件大小和文件类型的其他库或其他技术。
注意:我想允许传输.jpg和.gif等主流图片格式,并允许上传pdf文件、doc和docx文件、xls文件和类似的常见格式。
提前感谢您的建议和建议。
最佳答案
However, I am trying to find the best way to validate the contents of the file to avoid propagation of malicious code
File uploading是我想在 PHP 生态系统中消除的攻击面之一。无论您是使用 cURL 下载文件还是允许用户从 Web 表单提交文件,解决方案都没有太大变化。
要解决远程代码执行问题:将文件上传到 Web 根目录之外的非公开访问文件夹,然后使用代理脚本(提示:readfile()
或 file_get_contents ()
) 而不是允许直接访问。
那么即使有恶意代码,Apache/nginx也不会想到去执行。
... or loading up my server with excessively large files
如果您使用的是 cURL,this is easily done .
关于PHP/curl/文件获取内容。获取远程文件时的安全性和文件大小及类型验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13694199/