标签: php pdf file-upload security
我的服务器必须只接受pdf文件。我正在使用php上传文件。目前,我正在检查文件是否以%PDF开头,以确保上传的文件确实是pdf文件。是否有其他检查以确保100%(或至少非常强烈)它是一个pdf文件。恶意用户可以上传以%PDF开头的可执行文件吗?我很感激任何帮助。
答案 0 :(得分:1)
您可以使用PECL FileInfo扩展名来检测MIME类型。 (但我怀疑,在内部,它只是做你正在做的事情。)或者,您可以使用FPDI来查看是否可以成功读取该文件。对于PDF文件,我认为嵌入式恶意软件比错误命名的可执行文件更受关注。每当您接受用户上传时,通过ClamAV或类似文件运行文件可能是个好主意。
FileInfo
FPDI
ClamAV