极客观点
项目管理
HarmonyOS
比如用户要上传一个图片,你怎么知道用户上传的是不是一个图片呢?
- 后缀名显然不可靠,最容易伪造
- 表单里的mime信息也不可靠,所有的表单信息都可以伪造
我如何判断它的类型呢?需要去解析这个二进制文件吗?
如果是图片可以通过 getimagesize() 获取图片的 mime,这样便不依赖
普通文件可以通过:
1. finfo 扩展
2. mime_content_type()
3. 调用linux命令 exec("file -bi ".escapeshellarg($this->file_src_pathname))来检测
选择合适的一种检测文档类型已经够用了。
图片上传的安全性主要在下载展示的时候,如果它是一段脚本<script>alert(1)</script>伪造成image/jpg,浏览器会将其解释为html而不是图片,从而执行非法脚本。以上检测手段可以避免这种情况
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
被 1 篇内容引用
推荐问题
为什么会出现CORS error?
先登录成功了。再次调用,就出现了CORS error在Login页调用这个接口就是正常的,换一个页面调用这个接口就出现了跨域问题。我把这段代码注释以后就正常了。3 回答2.3k 阅读✓ 已解决
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4.1k 阅读✓ 已解决
新人求看下如何用php对接第三方接口?
新人求解第三方的对接口怎么写curl 求大神写个php 的curl3 回答1.8k 阅读✓ 已解决
Hyperf Swagger 如何使用?
根据 https://hyperf.wiki/3.1/#/zh-cn/swagger?id=hyperf-swagger 官方文档安装配置,但是文档太简单了,出了问题不知道怎么排查,网络文章写的也让人摸不着头脑,不知道别人的json 是怎么生成的。2 回答2.2k 阅读✓ 已解决
员工电脑装了公司内部的证书,那么通过公共wifi可以拦截并解密用户的微信信息吗?
员工电脑装了公司内部的证书,那么通过公司的公共wifi可以拦截并解密用户的微信信息吗?1 回答1.6k 阅读✓ 已解决
Laravel Framework 11.38.2 版本 路由调用api接口报错404?
使用web接口都可以调用但使用api接口就报错web文件api文件这是为什么呢?有大佬知道吗?1 回答1.4k 阅读✓ 已解决
在Windows下开发的gin项目如何不是linux下的宝塔?
在windows下用gin开发了一个电商平台,要如何部署到公司linux服务器上,服务器是用宝塔搭建管理?2 回答2.2k 阅读
用户发过来的就这些东西,除了解析二进制文件你没别的办法了,即便是解析二进制文件其实也有可能受骗,可以拿来越狱iPhone的PDF都曾经存在过。
很多事你没法做到绝对,一句话,尽人事安天命吧。