在php中检查mime类型相当容易,但据我所知mime可以被伪造。攻击者可以上传带有jpeg mime类型的php脚本。一个想法是检查上传文件的文件扩展名并确保其与mime类型匹配。所有这些都假定上传目录是浏览器可访问的。
问题:除了mime类型欺骗外,还有哪些方法可以防止“坏文件”进入?
答:除了检查mime类型外,还可以使用以下技术来预防“坏文件”的上传:1. 文件内容分析:通过对文件内容进行分析,例如使用AntiVirus软件对文件进行扫描,以检测是否存在恶意代码。
2. 白名单过滤:限制上传文件的类型,只允许上传预先定义的白名单中的文件类型,拒绝其他类型的文件。
3. 上传文件大小限制:限制上传文件的最大大小,以避免上传过大的文件。
4. 防火墙:使用网络防火墙或应用程序防火墙来保护服务器免受攻击。
需要注意的是,这些技术仅能降低攻击的风险,并不能完全消除。因此,仍需要谨慎处理上传文件。