HOME>WEBプログラム覚書>[PHP]アップロードしたファイルの種類の判定に$_FILES[][type]は使っちゃいけない。

[PHP]アップロードしたファイルの種類の判定に$_FILES[][type]は使っちゃいけない。

ブラウザとかOSによって全部バラバラじゃねーかw

詳細なバージョンとかメモってないんだけど、Windows XP のChromeとWindows 8.1 のChromeとUbuntuのChromeで試したところ application/zipapplication/x-zip-compressedapplication/octet-streamの3つが出た。

この値を信用するなってことは、当然ながらマニュアルにしっかりと書いてありましたね。はい。

$_FILES['userfile']['type']
ファイルの MIME 型。ただし、ブラウザがこの情報を提供する場合。 例えば、"image/gif" のようになります。 この MIME 型は PHP 側ではチェックされません。そのため、 この値は信用できません。

指定した型以外の ファイルを全て捨てるために変数 $_FILES['userfile']['type'] を用いることができますが、 これはあくまでいくつかのチェックの中のひとつとしてのみ実行するようにしてください。なぜなら、この値を設定するのはあくまでもクライアントであり、 PHP 側では何もチェックしていないからです。

PHP: POST メソッドによるアップロード - Manual

・・・これ廃止じゃダメなの?w
var_dumpしてtypeにimage/gifとかあったら、ファイルタイプGetだぜっ!って何の疑いもなくで使っちゃうじゃないか。
どういう用途で必要なのか想像つかないんですけど、廃止になってないってことはなんかあるのかな?

とりあえず 5.3.0以上ならfinfo_fileが利用できるので解決なんですけど、 5.3.0以下の場合はどうすりゃいいんだ?。PECL 入れられる環境なんて限られてるだろうし。

mime_content_type()かGNU/Linuxの file コマンドでなんとかするかかな。

file -i

  1. $ file -i ./icon.zip
  2. icon.zip: application/zip; charset=binary
  3.  
投稿日 2014年2月 5日 04:39
カテゴリ PHP
タグ 関数
トラックバック URL http://www.kantenna.com/cgi-bin/mt504/mt-tb.cgi/1349

コメント

mt

2016年5月19日 21:26 | 返信

画像の判別にはexif_imagetype関数(http://php.net/manual/ja/function.exif-imagetype.php)が使えます。
getimagesize関数も、返り値の2番目の要素が画像の形式の情報になっています。

コメントする
Name
Email Address
URL

KANTENNA.COM

Solarized

PAGE RANK

384 PV約 68 秒/1PV

[Ubuntu]動画ダウンロードと検索が簡単にできるGMediaFinder | 情報備忘録

814 PV約 68 秒/1PV

[PHP]MySQLを利用した画像の保存と出力 | WEBプログラム覚書

173 PV約 66 秒/1PV

jQuery PageSlide.js | KANTENNA.COM

630 PV約 61 秒/1PV

表示内容の切り替え(JavaScript) | WEBプログラム覚書

166 PV約 52 秒/1PV

[WordPress]投稿タイプ、タクソノミー、タームについて | WEBプログラム覚書

170 PV約 52 秒/1PV

jQuery slider | KANTENNA.COM

207 PV約 45 秒/1PV

[WordPress]XML-RPCを利用して外部から投稿したりする。 | WEBプログラム覚書

1045 PV約 37 秒/1PV

[jQuery]こんな機能があったんだ。jQuery stop() | WEBプログラム覚書

1055 PV約 35 秒/1PV

jQueryによる表示、非表示切り替え | WEBプログラム覚書

161 PV約 35 秒/1PV

[jQuery]closest()とparents() | WEBプログラム覚書

404 PV約 28 秒/1PV

[jQuery]デザイン系の人は、$(function(){})よりwindow.onloadを使ったほうがいいかも。 | WEBプログラム覚書

132 PV約 28 秒/1PV

基本的な光の作り方2 | KANTENNA.COM

584 PV約 25 秒/1PV

Dreamweaverで文字コードを変換する手順 | 情報備忘録

398 PV約 25 秒/1PV

Excel VBA の改行コード | WEBプログラム覚書

248 PV約 25 秒/1PV

javascript 子要素取得のメモ | WEBプログラム覚書

131 PV約 23 秒/1PV

コマンドプロンプト(cmd.exe)が芸術的すぎる件 | 情報備忘録

161 PV約 23 秒/1PV

渦っぽい光が美しいPhotoshop効果 | KANTENNA.COM

144 PV約 11 秒/1PV

ウェブデザイン・ホームページ制作 KANTENA.COM

394 PV約 9 秒/1PV

MySQLエラー「Column 'カラム名' in field list is ambiguous」 | WEBプログラム覚書

TIME LINE

2018 11.15

webpack、babelでreactのビルド環境構築

node.jsはインストール済でとにかくreactをJSXでかいてES5にトランスコンパイルして既存のページにscriptタグをぺちっとしたい人向け。

2018 06.05

[CakePHP3.7]LayoutでCellを使ったら memory size エラー出る場合

layoutファイルの中でcellをrender()するとViewでmemory size エラー出る場合がある。

どうやらViewでsetLayout()とか使ってると無限ループのようになってメモリエラーになるっぽい?? 下手なlayout設定は命取りになる模様。

Tag