MIME的英文全称是"Multipurpose Internet Mail Extensions" 多功能Internet 邮件扩充服务,它是一种多用途网际邮件扩充协议,在1992年最早应用于电子邮件系统,但后来也应用到浏览器。服务器会将它们发送的多媒体数据的类型告诉 浏览器,而通知手段就是说明该多媒体数据的MIME类型,从而让浏览器知道接收到的信息哪些是MP3文件,哪些是Shockwave文件等等。服务器将 MIME标志符放入传送的数据中来告诉浏览器使用哪种插件读取相关文件。
文件 | 用IE7上传 | 用Firefox3.0上传 |
GIF | image/gif | image/gif |
JPG | image/pjpeg | image/jpeg |
ZIP | application/x-compressed | application/octet-stream |
JSP | text/html | text/html |
EXE | application/octet-stream | application/octet-stream |
上边的黄图哦不红图表示出了不同的浏览器所上传的不同的mime的区别,研究了一下,暂时没有发现可修改假冒mime的方法。
<form enctype="multipart/form-data" action="URL" method="post">
<input type="hidden" name="MAX_FILE_SIZE" value="1000">
<input name="myFile" type="file">
<input type="submit" value="上传文件">
</form>这个代码上传文件后:
使用PHP:
type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。
使用struts2限制类型:
<interceptor-ref name="fileUpload">
<param name="allowedTypes">application/zip,application/x-zip-compressed,application/rar,application/octet-stream</param>
<param name="maximumSize">3145728</param>
</interceptor-ref>使用C/java):
public static boolean isImageJpeg(byte[] blob) {
if (blob != null && blob.length > 2) {
// 0xFFD8
if (blob[0] == (byte)0xFF &&
blob[1] == (byte)0xD8) {
return true;
}
}
return false;
}
public static boolean isImageBmp(byte[] blob) {
if (blob != null && blob.length > 2) {
// BM: Windows 3.1x, 95, NT, …
// BA: OS/2 Bitmap Array
// CI: OS/2 Color Icon
// CP: OS/2 Color Pointer
// IC: OS/2 Icon
// PT: OS/2 Pointer
if ((blob[0] == 'B' &&
blob[1] == 'M')
||
(blob[0] == 'B' &&
blob[1] == 'A')) {
return true;
}
}
return false;
}
public static boolean isImagePng(byte[] blob) {
if (blob != null && blob.length > {
// 89 50 4E 47 0D 0A 1A 0A
if (blob[0] == (byte)0x89 &&
blob[1] == (byte)0x50 &&
blob[2] == (byte)0x4E &&
blob[3] == (byte)0x47 &&
blob[4] == (byte)0x0D &&
blob[5] == (byte)0x0A &&
blob[6] == (byte)0x1A &&
blob[7] == (byte)0x0A)
return true;
}
return false;
}
public static boolean isImageGif(byte[] blob) {
if (blob != null && blob.length > 3) { // 只有3字节的gif?这里仅避免异常
if (blob[0] == 'G' &&
blob[1] == 'I' &&
blob[2] == 'F')
return true;
}
return false;
}
--------------------------------------------------------------------------------------------------------------------------------
本文目的在于,进一步更正前文所述的mime判断方式,以及增加一个nginx环境里的文件上传大小所影响的代码。
上传类型控制:
在我(54chen)工作中发现,其实修改文件的后缀,浏览器就会很傻瓜地传送错误的mime类型,所以前文的判断是一个半错误的方法(除了C代码是正确的)。
网上流传一段PHP读取文件头判断文件类型的方法,有一些bug,经我(54chen)修改实测,应该是这个样子:
/**
* 读取文件前几个字节 判断文件类型
*
* @return String
*/
function checkTitle($filename) {
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("c2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch ($typeCode)
{
case 7790:
$fileType = 'exe';
break;
case 7784:
$fileType = 'midi';
break;
case 8297:
$fileType = 'rar';
break;
case 255216:
$fileType = 'jpg';
break;
case 7173:
$fileType = 'gif';
break;
case 6677:
$fileType = 'bmp';
break;
case 13780:
$fileType = 'png';
break;
default:
$fileType = 'unknown'.$typeCode;
}
//Fix
if ($strInfo['chars1']=='-1' && $strInfo['chars2']=='-40' ) {
return 'jpg';
}
if ($strInfo['chars1']=='-119' && $strInfo['chars2']=='80' ) {
return 'png';
}
return $fileType;
}
这代码可以非常正确地分出修改后的文件,从而达到阻止修改后缀名上传的情况。
上传大小控制:
在PHP代码中直接读取$_FILE的size,而如果是特别大的文件,又使用了PHP+nginx的话,很有可能,超过2M的文件直接就被nginx就抛出来413错误了。
解决的办法:
修改/etc/nginx/nginx.conf
找到对应域名的server段:修改client_max_body_size的值,默认是2M。
这样子还不够,如果不修改php.ini里的值,你会发现上传的文件用上面的代码判断类型的时候会出问题。
修改/etc/php.ini
找到upload_max_filesize,修改这个值,默认是2M。
一番折腾,类型和大小的控制基本上就完善了。
对于上传文件类型的判断,一直没有太好的办法,即使使用上面的代码,也有办法构造假的图片的(如何构造不再传播),有人使用getimagesize来判断,不失为一种好办法:
if(in_array($attach['ext'], array('jpg', 'jpeg', 'gif', 'png', 'swf', 'bmp')) && function_exists('getimagesize') && !@getimagesize($target)) {
@unlink($target);
upload_error('post_attachment_ext_notallowed', $attacharray);
}摘自dz代码。
