finfo_file 是判断真实 MIME 类型最可靠方式,需基于文件内容头(magic bytes),启用 fileinfo 扩展并指定 FILEINFO_MIME_TYPE,立即验证 $_FILES'file' 后再移动文件。
用 finfo_file 判断真实 MIME 类型最可靠
仅靠文件扩展名(如 .jpg)或 $_FILES['file']['type'] 完全不可信,浏览器可伪造,后缀可随意改。真正安全的判断必须基于文件内容头(magic bytes)。PHP 的 finfo_file 是标准方案,依赖系统 libmagic 库。
实操建议:
- 确保 PHP 编译时启用了
fileinfo扩展(php -m | grep fileinfo验证) - 不要用
mime_content_type()—— 已被废弃,且行为不一致 - 创建
finfo实例时务必指定FILEINFO_MIME_TYPE,避免返回完整 MIME 字符串(如image/jpeg; charset=binary)干扰判断 - 示例代码:
$finfo = finfo_open(FILEINFO_MIME_TYPE); $mimeType = finfo_file($finfo, '/path/to/uploaded.file'); finfo_close($finfo); // $mimeType 可能是 'image/png'、'application/pdf'、'text/plain' 等
判断是否为图片且限制常见格式
上传头像、缩略图等场景,不仅要验 MIME,还要限定白名单,防止 image/svg+xml 带 XSS 或伪装成图片的恶意脚本。
实操建议:
- 白名单必须显式列出允许的类型,例如:
['image/jpeg', 'image/png', 'image/gif'],不要用strpos($mimeType, 'image/') !== false - 注意
image/jpg并非标准 MIME,实际多为image/jpeg;image/pjpeg是旧 IE 产物,已基本淘汰,无需兼容 - 对 PNG/JPEG 可追加简单二进制校验(如检查前 8 字节是否符合 PNG signature
\x89PNG\r\n\x1a\n),但finfo已足够应对绝大多数情况
处理上传临时文件时的路径陷阱
$_FILES['xxx']['tmp_name'] 是临时路径,但 finfo_file() 要求该路径存在且可读。若在 move_uploaded_file() 后再验,风险已发生;若提前验,又可能因并发或清理导致临时文件消失。
实操建议:
- 务必在接收到上传后**立即**调用
finfo_file(),传入$_FILES['file']['tmp_name'] - 验证通过后再
move_uploaded_file(),不要先移再验 - 确认
is_uploaded_file($_FILES['file']['tmp_name'])返回 true,防止本地文件路径穿越攻击(如../../etc/passwd伪造) - 临时文件权限通常为 0600,
finfo_file不受 SELinux 或 open_basedir 限制,但需确保 web server 用户有读取权限
为什么不用 getimagesize() 或 exif_imagetype()
这两个函数只适用于图像,且行为有明显缺陷:前者会解析整个图片(大文件时性能差、可能触发 OOM),后者仅支持有限几种格式(如不识别 WebP),且返回整数常量(IMAGETYPE_JPEG),需手动映射为 MIME,易出错。
实操建议:
-
exif_imagetype()返回 false 时无法区分是“非图”还是“解析失败”,而finfo明确返回application/octet-stream或具体类型 - WebP、AVIF 等新格式,
finfo支持良好(依赖 libmagic 版本 ≥ 5.39),而exif_imagetype()完全不支持 - PDF、ZIP、DOCX 等非图像类型,只能靠
finfo准确识别
finfo 实例的正确释放。
