通过 mime 对 xml 文件的 php 文件上传限制
Posted
技术标签:
【中文标题】通过 mime 对 xml 文件的 php 文件上传限制【英文标题】:php file upload restriction for xml files via mime 【发布时间】:2017-03-30 20:04:50 【问题描述】:我在 php 批准我的文件上传时遇到问题。我希望用户只上传 .xml 文件。但它不起作用。
这是我的 html 表单:
<form action="upload2.php" method="post" enctype="multipart/form-data">
Wähle deine Sprachdatei aus:
<input type="file" class="form-control-file" name="upfile">
<br>
<input type="submit" class="btn btn-primary" value="Sprachdatei hochladen" name="submit">
</form>
这是我通过 MIME 类型控制文件的 php:
<?php
header('Content-Type: text/plain; charset=utf-8');
try
// Undefined | Multiple Files | $_FILES Corruption Attack
// If this request falls under any of them, treat it invalid.
if (
!isset($_FILES['upfile']['error']) ||
is_array($_FILES['upfile']['error'])
)
throw new RuntimeException('Invalid parameters.');
// Check $_FILES['upfile']['error'] value.
switch ($_FILES['upfile']['error'])
case UPLOAD_ERR_OK:
break;
case UPLOAD_ERR_NO_FILE:
throw new RuntimeException('No file sent.');
case UPLOAD_ERR_INI_SIZE:
case UPLOAD_ERR_FORM_SIZE:
throw new RuntimeException('Exceeded filesize limit.');
default:
throw new RuntimeException('Unknown errors.');
// You should also check filesize here.
if ($_FILES['upfile']['size'] > 1000000)
throw new RuntimeException('Exceeded filesize limit.');
// DO NOT TRUST $_FILES['upfile']['mime'] VALUE !!
// Check MIME Type by yourself.
$finfo = new finfo(FILEINFO_MIME_TYPE);
if (false === $ext = array_search(
$finfo->file($_FILES['upfile']['tmp_name']),
array(
'xml' => 'text/xml',
'txt' => 'text/plain',
),
true
))
throw new RuntimeException('Invalid file format.');
// You should name it uniquely.
// DO NOT USE $_FILES['upfile']['name'] WITHOUT ANY VALIDATION !!
// On this example, obtain safe unique name from its binary data.
if (!move_uploaded_file(
$_FILES['upfile']['tmp_name'],
sprintf('./uploads/%s.%s',
sha1_file($_FILES['upfile']['tmp_name']),
$ext
)
))
throw new RuntimeException('Failed to move uploaded file.');
echo 'File is uploaded successfully.';
catch (RuntimeException $e)
echo $e->getMessage();
?>
使用简单的 jpg 和 png 它可以工作,但不能使用 xml。 我检查了 MIME 类型,但它仍然无法正常工作
我在 Windows 上使用 XAMPP 来运行 php
感谢您的帮助。
【问题讨论】:
您检查过$finfo->file($_FILES['upfile']['tmp_name']) 实际返回的内容吗?
对不起。我是一个php lerner。如何检查?
【参考方案1】:
试试下面的代码。文件的扩展名在您的代码上得到了正确的处理。
如果 (!move_uploaded_file( $_FILES['upfile']['tmp_name'], 'uploads/'.basename($_FILES["upfile"]["name"] ) ))
【讨论】:
这和他的问题有什么关系? 当我在本地机器上检查时,文件正在上传,没有扩展名。 没关系。但这不是他的问题。他想限制上传 MIME 类型。无论如何,他得到了一个对他有用的答案。【参考方案2】:对于 xml 文件,$finfo->file() 似乎返回 application/xml 而不是 text/xml。
使用有效的 mime 类型将您的数组更改为:
array(
'xml' => 'application/xml',
'txt' => 'text/plain',
),
【讨论】:
以上是关于通过 mime 对 xml 文件的 php 文件上传限制的主要内容,如果未能解决你的问题,请参考以下文章
在网页上编辑 XML 文件并使用 PHP 保存回 XML 文件
服务器上的 PHP 文件上传将 mime-type 更改为 application/octet-stream