php中$_files'xxx'不可靠,必须用finfo_open(fileinfo_mime_type)检测真实mime类型,并与后缀白名单双向校验,上传目录须禁用脚本执行权限。
PHP 用 $_FILES['xxx']['type'] 判断文件类型根本不可靠
浏览器传来的 $_FILES['xxx']['type'] 是客户端自己填的 MIME 类型,随便改个请求头就能伪造,比如把 .php 文件改成 image/jpeg 就能绕过。它只适合做前端预检或日志记录,**绝不能用于安全校验**。
真正要拦住危险文件,得看文件“实际内容”而不是“声称内容”。常见错误是只检查 $_FILES['xxx']['type'] 或后缀名,结果上传了带木马的 .jpg.php 或直接是 .phar 文件。
- 永远配合
finfo_open()做 MIME 探测(基于二进制头) - 后缀名必须白名单校验,且和探测出的 MIME 类型双向匹配(比如
image/png对应.png,不接受.jpg) - 上传目录禁止执行 PHP:Web 服务器配置里关掉
php_flag engine off或用deny all配置
用 finfo_open() 检查真实 MIME 类型最稳妥
finfo_open() 是 PHP 内置函数,底层调用 libmagic,读取文件前几百字节判断类型,比扩展名和 $_FILES['type'] 可靠得多。注意别漏掉 FILEINFO_MIME_TYPE 参数,否则返回完整 MIME 字符串(含编码),不好比对。
典型误用:finfo_file($finfo, $_FILES['file']['tmp_name']) 返回 text/plain; charset=us-ascii —— 这种带分号的值直接 === 匹配会失败。
立即学习“PHP免费学习笔记(深入)”;
- 用
finfo_open(FILEINFO_MIME_TYPE),确保只返回类似image/jpeg的纯类型字符串 - 检查前确认
$_FILES['file']['error'] === UPLOAD_ERR_OK,否则tmp_name可能为空 - Windows 下若提示
Failed to load magic database,需在php.ini设置mime_magic.magicfile = "C:/php/magic.mime"
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['avatar']['tmp_name']);
finfo_close($finfo);
if ($mimeType !== 'image/jpeg' && $mimeType !== 'image/png') {
die('不支持的图片格式');
}
后缀名白名单 + MIME 双校验才防得住绕过
光靠 MIME 探测还不够。攻击者可以构造“合法头+恶意内容”的文件(比如 PNG 头后面拼一段 PHP 代码),如果服务器又恰好配置成允许 .png 执行 PHP,就中招了。所以必须限制后缀,并且确保后缀和 MIME 类型一致。
常见坑:用 pathinfo($_FILES['f']['name'], PATHINFO_EXTENSION) 获取后缀,但用户传 shell.php.jpg 时会得到 jpg,而 $_FILES['f']['type'] 又是伪造的 image/jpeg,表面看完全匹配——其实文件是 PHP。
- 后缀必须从原始
$_FILES['xxx']['name']提取,且只取最后一个点之后的部分(strrchr()比pathinfo()更防伪) - 定义严格白名单数组:
['jpg' => 'image/jpeg', 'png' => 'image/png'],然后双向验证 - 重命名文件时用独立生成的随机名(如
uniqid() . '.png'),彻底丢弃用户传的文件名
上传后立刻移动 + 禁止解析才是最后一道门
很多开发者以为校验完就安全了,结果把文件直接存到 Web 可访问目录(比如 /uploads/),又没关执行权限,等于给黑客铺好路。PHP 上传漏洞的高发场景,90% 出在这里。
典型错误:上传成功后用 move_uploaded_file() 移到 ./uploads/,但 Apache/Nginx 默认会对该目录下所有 .php、.phtml、.phar 执行解析。
- 上传目录不要放在 Web 根目录下;如果必须放,用 Nginx 的
location ~ \.php$ { deny all; }或 Apache 的<filesmatch> Require denied </filesmatch> -
move_uploaded_file()必须指定绝对路径,相对路径在某些 SAPI(如 CLI)下行为异常 - 上传完成后,用
chmod($dest, 0644)显式去掉执行位(尤其在共享主机上)
