php 限制上传文件类型 (有什么方法可以限制PHP上传文件的类型？)

随着互联网的普及，网站开发已成为人们广泛关注的话题。而文件上传是网站开发中的一个重要功能，但同时也带来了安全隐患。PHP是广泛使用的服务器端脚本语言，那么有什么方法可以限制PHP上传文件的类型呢？下面是一些常用的方式。

1. 硬性检查文件扩展名

在PHP中可以使用$FILES来获取上传的文件的信息。其中，$FILES[‘file’][‘type’]保存的是上传文件的MIME类型，但这个值是由客户端提供的，已知容易被伪造，因此不能完全依赖于它。相比之下，检查文件扩展名就相对更为可靠。可以通过使用pathinfo函数来获取上传文件的扩展名，并检查该扩展名是否在允许范围内。

php
$allowedExtensions = array('jpg', 'jpeg', 'gif', 'png');
$extension = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);
if (!in_array($extension, $allowedExtensions)) {
die("文件类型不支持！");
}


2. 检查文件的MIME类型

虽然$_FILES[‘file’][‘type’]的值不可靠，但可以使用PHP的FileInfo扩展来获取上传文件的MIME类型。通过检查MIME类型，可以更好地限制文件类型。

php
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$allowedMimeTypes = array('image/gif', 'image/jpeg', 'image/png');
$mimeType = finfo_file($finfo, $_FILES['file']['tmp_name']);
if (!in_array($mimeType, $allowedMimeTypes)) {
die("文件类型不支持！");
}


3. 将上传文件重命名为随机名称

上传文件重命名是增加文件安全性的一个有效手段。即使黑客找到了上传文件的真实扩展名和MIME类型，但没有文件名的指示，也难以进行攻击。可以通过将上传文件重命名为随机字符串来实现这一点。

php
$extension = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);
$newFilename = uniqid().'.'.$extension;
move_uploaded_file($_FILES['file']['tmp_name'], '/path/to/uploads/'.$newFilename);


综上所述，通过硬性检查文件扩展名、检查文件的MIME类型以及将上传文件重命名为随机字符串等方式，可以有效地限制PHP上传文件的类型，保障网站安全。