Как проверить, является ли загруженный файл изображением без MIME-типа?

Question

Я хотел бы проверить, является ли загруженный файл файлом изображения (например, png, jpg, jpeg, gif, bmp) или другим файлом. Проблема в том, что я использую Uploadify для загрузки файлов, который меняет тип MIME и дает «текст / восьмеричный» или что-то вроде MIME, независимо от того, какой тип файла вы загружаете.

Есть ли способ проверить, является ли загруженный файл изображением, кроме проверки расширения файла с помощью PHP?

Answer 1

Я думаю о предмете просто: все загруженные изображения являются злыми.

И не только потому, что они могут содержать вредоносные коды, но особенно из-за мета-тегов.Я знаю о сканерах, которые просматривают в Интернете, чтобы найти некоторые защищенные изображения, используя свои скрытые метатеги, а затем поиграть с их авторскими правами.Возможно, немного параноидально, но поскольку загруженные пользователем изображения не контролируют проблемы с авторским правом, я принимаю это всерьез во внимание.

Чтобы избавиться от этих проблем, я систематически конвертирую все загруженные изображения в png с помощью gd.Это имеет много преимуществ: изображение очищено от возможных вредоносных кодов и метатегов, у меня есть только один формат для всех загруженных изображений, я могу настроить размер изображения в соответствии со своим стандартом, и ... Я сразу знаюЕсли изображение является действительным или нет! Если изображение не может быть открыто для преобразования (используя imagecreatefromstring , который не заботится о формате изображения), то я считаю изображение недействительным.

Простая реализация может выглядеть так:

function imageUploaded($source, $target)
{
   // check for image size (see @DaveRandom's comment)
   $size = getimagesize($source);
   if ($size === false) {
      throw new Exception("{$source}: Invalid image.");
   }
   if ($size[0] > 2000 || $size[1] > 2000) {
      throw new Exception("{$source}: Too large.");
   }

   // loads it and convert it to png
   $sourceImg = @imagecreatefromstring(@file_get_contents($source));
   if ($sourceImg === false) {
      throw new Exception("{$source}: Invalid image.");
   }
   $width = imagesx($sourceImg);
   $height = imagesy($sourceImg);
   $targetImg = imagecreatetruecolor($width, $height);
   imagecopy($targetImg, $sourceImg, 0, 0, 0, 0, $width, $height);
   imagedestroy($sourceImg);
   imagepng($targetImg, $target);
   imagedestroy($targetImg);
}

Чтобы проверить это:

header('Content-type: image/png');
imageUploaded('http://www.dogsdata.com/wp-content/uploads/2012/03/Companion-Yellow-dog.jpg', 'php://output');

Это не совсем ответ на ваш вопрос, так как это тот же тип взлома, чемпринятый ответ, но я дам вам свои причины, по крайней мере: -)

Answer 2

Вы можете использовать getimagesize(), который возвращает нули для размера на не изображениях.

Answer 3

Если Uploadify действительно меняет тип пантомимы - я бы посчитал это ошибкой.Это вообще не имеет смысла, потому что это мешает разработчикам работать с функциями на основе mime-типа в PHP:

• finfo_open ()
• mime_content_type ()
• exif_imagetype ().

Это небольшая вспомогательная функция, которая возвращает тип mime на основе первых 6 байтовфайла.

/**
 * Returns the image mime-type based on the first 6 bytes of a file
 * It defaults to "application/octet-stream".
 * It returns false, if problem with file or empty file.
 *
 * @param string $file 
 * @return string Mime-Type
 */
function isImage($file)
{
    $fh = fopen($file,'rb');
    if ($fh) { 
        $bytes = fread($fh, 6); // read 6 bytes
        fclose($fh);            // close file

        if ($bytes === false) { // bytes there?
            return false;
        }

        // ok, bytes there, lets compare....

        if (substr($bytes,0,3) == "\xff\xd8\xff") { 
            return 'image/jpeg';
        }
        if ($bytes == "\x89PNG\x0d\x0a") { 
            return 'image/png';
        }
        if ($bytes == "GIF87a" or $bytes == "GIF89a") { 
            return 'image/gif';
        }

        return 'application/octet-stream';
    }
    return false;
}

Answer 4

Вы можете проверить тип изображения, проверив магические числа в начале файла.

Например: Каждый файл JPEG начинается с блока "FF D8 FF E0" .

Подробнее о магических числах

Answer 5

Попробуйте использовать exif_imagetype , чтобы получить фактический тип изображения. Если файл слишком мал, он выдаст ошибку, а если не сможет его найти, вернет false

Answer 6

Вы можете проверить первые несколько байтов файла для магического числа , чтобы выяснить формат изображения.

Answer 7

Нельзя ли запросить файл с помощью finfo_file ?

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimetype = finfo_file($finfo, $filename); //should contain mime-type
finfo_close($finfo);

Этот ответ не проверен, но на основе этого обсуждения на форуме на форумах Uploadify.

Я также хотел бы отметить, что finfo должен "попытаться угадать тип содержимого и кодировку файла, ища определенные последовательности магических байтов в определенных позициях в файле" , так что, на мой взгляд, это должно все же работать, даже если Uploadify указал неправильный тип MIME.