我考虑将上传的文档保存到Web根目录之外的文件夹中,并使用脚本使用readfile(file)提供下载。
但是,我想知道以下操作是否足以消除可能存在的任何威胁:
$filename = basename($_FILES['uploaded_file']['name']);
$ext = substr($filename, strrpos($filename, '.') + 1);
if (($ext == "doc") && ($_FILES["uploaded_file"]["type"] == "application/msword"))
{
execute rest of the code
}
我看到有人建议使用finfo_open(),但是我的服务器运行的是php 5.3.0,所以我不能使用它。我试过使用mime_content_type(),但是不管我发送什么类型的文件,它都会返回"text/plain"(我不知道我是否做错了什么)。
有什么方法可以使这个过程更加安全吗?