判断用户上传的图片为正常的图片

      文件上传是我们常常需要开发的功能，试试用最安全的方式，判断用户上传的图片为正常的图片(JPG\GIF\PNG)。

 

解题思路：
1、检查提交的文件的扩展名是否是图片（这一步很容易伪造的，所以不可靠）
2、依据文件的头信息检查文件是否真的是图片 （这一步基本就是图片了，但是依然可能包含木马的脚本）
3、用正则检查文件里面是否包含木马的脚本

 

以下是“坚持到底”的PHP版本代码

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

<?php //允许的图片类型 $imageType = array('jpg','gif','png'); //上传后存放的路径 $uploadfile = './data/' . basename($_FILES['userfile']['name']); //获取文件的扩展名 $finfo = new SplFileInfo($_FILES['userfile']['name']); $extName=$finfo->getExtension(); //第一道关卡，简单过滤非法文件。 if(!in_array($extName,$imageType)){     exit('只能上传gif、png和jpg的图片'); } //依据文件头信息检查图片的真实类型 //1 IMAGETYPE_GIF //2 IMAGETYPE_JPEG //3 IMAGETYPE_PNG $realType=exif_imagetype($_FILES['userfile']['tmp_name']); if( 1 == $realType || 2 ==$realType || 3 ==$realType){     //开始检查是否存在木马代码     $safe=is_safe($_FILES['userfile']['tmp_name']);     if(!$safe){         exit ('图片包含木马，禁止上传！');     }     if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {         echo "文件上传成功.\n";     } else {         echo "上传失败!\n";     } }else{     exit ('只能上传gif、png和jpg的图片'); } function is_safe($fileurl) {     $handle = fopen($fileurl, 'rb');     $fileSize = filesize($fileurl);     fseek($handle, 0);     if ($fileSize > 512) { // 取头和尾         $hexCode = bin2hex(fread($handle, 512));         fseek($handle, $fileSize - 512);         $hexCode .= bin2hex(fread($handle, 512));     } else { // 取全部         $hexCode = bin2hex(fread($handle, $fileSize));     }     fclose($handle);     /* 匹配16进制中的 <% ( ) %> */     /* 匹配16进制中的 <? ( ) ?> */     /* 匹配16进制中的 <script | /script> 大小写亦可*/     //匹配表示有木马     return !preg_match("/(3c25.*?28.*?29.*?253e)|(3c3f.*?28.*?29.*?3f3e)|(3C534352495054)|(2F5343524950543E)|(3C736372697074)|(2F7363726970743E)/is", $hexCode); }

转载自： http://blog.sijiaomao.com/?p=187