php文件上傳類型

Question

我正在嘗試從HTML表單上傳一個zip文件和一個csv文件。

在PHP上，當我打印$ _FILES（實際上是symfony中的$ request-> getFiles（））時，我得到了關注。

Array
(
    [zipfile] => Array
        (
            [name] => tempfiles.zip
            [type] => application/octet-stream
            [tmp_name] => C:\wamp\tmp\php5D42.tmp
            [error] => 0
            [size] => 850953
        )
    [csvfile] => Array
        (
            [name] => test.csv
            [type] => application/vnd.ms-excel
            [tmp_name] => C:\wamp\tmp\php5D52.tmp
            [error] => 0
            [size] => 312
        )
)

我想知道type和tmp_name 。 我需要根據類型做出一些決定。 對現有類型進行決策是否安全？ 對於Linux服務器上的類似文件，我會得到相同的結果嗎？

再次， tmp_name具有.tmp擴展名。 在Windows / Linux上是否一致？ 如果沒有，我在Windows上編寫的代碼（使用type決定）是否可以在Linux上正常運行？

Answer 1

使用此type可能很危險，因為用戶可以更改文件的類型並可以上傳php腳本。

您應該像get_image_size（）一樣先驗證type來驗證圖像文件。我不知道.zip文件

Answer 2

信任type $_FILES的type是不安全的，您需要在服務器端驗證文件類型。

對於.tmp擴展名，在Windows或Linux上都可以。