好的,对于这里的所有热心人士,我都在讲一些关于“螺丝扩展,检查MIME!FILEINFO RLZ!”的内容,我已经准备了一些教程:
- 下载我画的这个漂亮的php徽标
- 查看它。很好,不是吗?
- 将其重命名为what_you_like.php
- 放入所有超赞的MIME类型/任何检查器中
- 运行
总之,你永远也不会 EVER 依靠MIME类型。您的Web服务器不关心MIME类型,它决定通过 EXTENSION 来做什么,最终被
_淘汰的@Col。 Shrapnel_的答案实际上是正确的。执行MIME检查时提供给您的任何信息与您的Web服务器 绝对 无关。
编辑: 不像您想要的那样罕见,它将为这种攻击打开一个网站:
<?php$mimetype = mime_content_type($_FILES['file']['tmp_name']);if(in_array($mimetype, array('image/jpeg', 'image/gif', 'image/png'))) { move_uploaded_file($_FILES['file']['tmp_name'], '/whatever/something/imagedir/' . $_FILES['file']['name']); echo 'OK';} else { echo 'Upload a real image, jerk!';}
