zoukankan      html  css  js  c++  java
  • PHP + Nginx 环境下的上传细节

    上传类型控制:

    一般修改文件的后缀,浏览器就会很傻瓜地传送错误的mime类型,所以前文的判断是一个半错误的方法(除了C代码是正确的)。

    网上流传一段PHP读取文件头判断文件类型的方法,有一些bug,经过修改实测,应该是这个样子:

    /**
    * 读取文件前几个字节 判断文件类型
    *
    * @return String
    */
    function checkTitle($filename) {
    $file     = fopen($filename, “rb”);
    $bin      = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo  = @unpack(“c2chars”, $bin);
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
    $fileType = ”;
    switch ($typeCode)
    {
    case 7790:
    $fileType = ‘exe’;
    break;
    case 7784:
    $fileType = ‘midi’;
    break;
    case 8297:
    $fileType = ‘rar’;
    break;
    case 255216:
    $fileType = ‘jpg’;
    break;
    case 7173:
    $fileType = ‘gif’;
    break;
    case 6677:
    $fileType = ‘bmp’;
    break;
    case 13780:
    $fileType = ‘png’;
    break;
    default:
    $fileType = ‘unknown’.$typeCode;
    }
    //Fix
    if ($strInfo['chars1']==’-1′ && $strInfo['chars2']==’-40′ ) {
    return ‘jpg’;
    }
    if ($strInfo['chars1']==’-119′ && $strInfo['chars2']==’80′ ) {
    return ‘png’;
    }
    return $fileType;
    }

    这代码可以非常正确地分出修改后的文件,从而达到阻止修改后缀名上传的情况。

    上传大小控制:

    在PHP代码中直接读取$_FILE的size,而如果是特别大的文件,又使用了PHP+nginx的话,很有可能,超过2M的文件直接就被nginx就抛出来413错误了。

    解决的办法:

    修改/etc/nginx/nginx.conf

    找到对应域名的server段:修改client_max_body_size的值,默认是2M。

    这样子还不够,如果不修改php.ini里的值,你会发现上传的文件用上面的代码判断类型的时候会出问题。

    修改/etc/php.ini

    找到upload_max_filesize,修改这个值,默认是2M。

    一番折腾,类型和大小的控制基本上就完善了。

    重要PS

    对于上传文件类型的判断,一直没有太好的办法,即使使用上面的代码,也有办法构造假的图片的(如何构造不再传播),有人使用getimagesize来判断,不失为一种好办法:

    if(in_array($attach['ext'], array(‘jpg’, ‘jpeg’, ‘gif’, ‘png’, ‘swf’, ‘bmp’)) && function_exists(‘getimagesize’) && !@getimagesize($target)) {
        @unlink($target);
        upload_error(‘post_attachment_ext_notallowed’, $attacharray);
       }

  • 相关阅读:
    ie调试器
    修改tomcat的部署名称
    Hibernate级联操作
    eclipse 批量 查询 替换
    Hibernate包及相关工具包下载地址
    new Option及用法
    java字符串的判断
    Caused by: java.lang.ClassNotFoundException: javax.persistence.EntityListeners
    【微信公众平台开发】创建自己定义菜单(四)
    fastjson 的简单使用
  • 原文地址:https://www.cnblogs.com/liangle/p/2512554.html
Copyright © 2011-2022 走看看