logo标签列表

PHP上传文件-仅图像检查

phpimagefile-upload
12

我有一个简单的PHP上传脚本,但我对PHP不是很熟悉。只是想寻求一些建议。

我想将我的脚本限制为仅上传 .JPG、.JPEG、.GIF 和 .PNG 这些格式的文件。

这个可行吗?

<?php
/*
    Temp Uploader
*/

    # vars
    $mx=rand();
    $advid=$_REQUEST["advid"];
    $hash=md5(rand);

    # create our temp dir
    mkdir("./uploads/tempads/".$advid."/".$mx."/".$hash."/", 0777, true);

    # upload dir
    $uploaddir = './uploads/tempads/'.$advid.'/'.$mx.'/'.$hash.'/';
    $file = $uploaddir . basename($_FILES['file']['name']);

    // I was thinking of a large IF STATEMENT HERE ..

    # upload the file
    if (move_uploaded_file($_FILES['file']['tmp_name'], $file)) {
      $result = 1;
    } else {
      $result = 0;
    }

    sleep(10);
    echo $result;

?>
http://cowburn.info/2008/01/13/get-file-extension-comparison/ - 显然,strrchr是最快的方法 - TheBlackBenzKid
5个回答
49

可以,非常容易。但首先,您需要一些额外的东西:

// never assume the upload succeeded
if ($_FILES['file']['error'] !== UPLOAD_ERR_OK) {
   die("Upload failed with error code " . $_FILES['file']['error']);
}

$info = getimagesize($_FILES['file']['tmp_name']);
if ($info === FALSE) {
   die("Unable to determine image type of uploaded file");
}

if (($info[2] !== IMAGETYPE_GIF) && ($info[2] !== IMAGETYPE_JPEG) && ($info[2] !== IMAGETYPE_PNG)) {
   die("Not a gif/jpeg/png");
}

相关文档:文件上传错误getimagesize图像常量

2
赶我一步 - 这种方法确保文件图像,而不仅仅是命名为图像。 - Surreal Dreams
1
唯一的注意事项是GD在PHP中不是内置库并且可能会有些棘手。finfo_file自PHP 5.3.0版本后就是标准函数,也可以进行基于内容的检查。 - Mr Griever
1
我怎样才能检查文件的分辨率呢?比如说宽度和高度的大小? - TheBlackBenzKid
3
不要使用getimagesize()来检查特定文件是否为有效图像。而是使用专门的解决方案,例如Fileinfo扩展。请参阅http://php.net/manual/en/function.getimagesize.php。 - cottton
2
这是糟糕的行为,会导致您的网站存在潜在的远程代码执行风险。任何人都可以在图像头部(存储元数据和被视为有效文本的位置)中放置可执行代码,并且getimagesize仍然会认为它是一个图像,从而接受该文件并可能允许 PHP 代码在服务器端执行。请改用mime_content_type函数。 - SteppingHat
显示剩余4条评论
6

文件路径并不是检查图像是否真的是图像的最佳方式。我可以拿一个恶意的javascript文件,将其重命名为.jpg扩展名,然后上传它。现在当你尝试在你的网站上显示它时,我可能已经破坏了你的网站。

这里有一个验证图像是否真实的函数:

<?php
  function isImage($img){
      return (bool)getimagesize($img);
  }
?>
7
不要使用getimagesize()函数来检查给定的文件是否是有效的图像。相反,使用专门的解决方案,如Fileinfo扩展。- 文档 - Tilak Madichetti
5

试试这个:

<?php

function isimage(){
$type=$_FILES['my-image']['type'];     

$extensions=array('image/jpg','image/jpe','image/jpeg','image/jfif','image/png','image/bmp','image/dib','image/gif');
    if(in_array($type, $extensions)){
        return true;
    }
    else
    {
        return false;
    }
}

    if(isimage()){
        //do codes..
    }

?>
1
您的帖子被标记为低质量,因为它全部都是代码。请尝试解释您所做的事情。 - Derek Brown
这是我最容易的一个,而且还起作用了。 - Humphrey
-3
if (substr($_FILES["fieldName"]["name"], strlen($_FILES["fieldName"]["name"])-4) == ".jpg")
{
    if(move_uploaded_file($_FILES["fieldName"]["tmp_name"],$path."/".$_FILES['fieldName']['name']))
    {
        echo "image sucessfully uploaded!";
    }
}

同样地,您也可以检查其他图像格式。

3
你假设远程用户并不恶意,且不会只是将nastyvirus.exe重命名为cutekittens.jpg - Marc B
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接