PHP上传文件头校验防伪造方法

本文深入探讨了如何通过校验文件“魔数”（即文件头的十六进制标识）来精准识别上传文件的真实类型，有效防范攻击者通过篡改扩展名将恶意PHP脚本伪装成图片、PDF等安全格式的常见绕过手段；文中不仅详解JPG、PNG、GIF、PDF等典型文件的魔数特征，还提供了可直接使用的PHP代码示例，并强调必须结合finfo获取MIME类型、禁用上传目录执行权限、重命名文件等多重防御策略，才能构建真正可靠的安全防线——毕竟，仅依赖客户端提交的文件名或$_FILES['type']早已形同虚设。

上传文件时仅靠扩展名判断类型很容易被绕过，攻击者可以将恶意脚本伪装成图片或其他安全格式。为提高安全性，PHP应通过读取文件的“魔数”（即文件头信息）来识别文件的真实类型。

什么是文件魔数？

文件魔数是文件开头的一段十六进制数据，用于标识文件的真实格式。例如：

• JPG 文件开头通常是 FF D8 FF
• PNG 文件开头是 89 50 4E 47
• GIF 文件以 47 49 46 38（GIF8）开始
• PRPS 文件（PDF）为 25 50 44 46（%PDF）

这些数据无法通过简单修改后缀名改变，因此更可靠。

使用 PHP 读取文件头并校验类型

可以通过 fread() 读取文件前几个字节，并与已知魔数比对：

function checkFileMimeType($filePath) {
    $handle = fopen($filePath, 'rb');
    if (!$handle) {
        return false;
    }
    
    // 读取前16个字节
    $bin = fread($handle, 16);
    fclose($handle);

    $hexValues = unpack('H*', $bin);
    $hex = strtoupper($hexValues[1]);

    // 提取前几位进行匹配
    $header = substr($hex, 0, 8);

    if (strpos($header, 'FFD8FF') === 0) {
        return 'image/jpeg';
    } elseif (strpos($header, '89504E47') === 0) {
        return 'image/png';
    } elseif (strpos($header, '47494638') === 0) {
        return 'image/gif';
    } elseif (strpos($header, '25504446') === 0) {
        return 'application/pdf';
    }

    // 可继续添加其他类型...

    return 'unknown';
}

// 使用示例
$uploadedFile = $_FILES['file']['tmp_name'];
$mimeType = checkFileMimeType($uploadedFile);

if ($mimeType === 'image/jpeg' || $mimeType === 'image/png') {
    // 允许上传
} else {
    die('文件类型不合法！');
}

结合 MIME 类型多重验证更安全

建议组合以下方式提升安全性：

• 校验文件头魔数：防止伪造扩展名
• 使用 finfo 扩展获取 MIME 类型：

  <font face="Courier New">
  $finfo = finfo_open(FILEINFO_MIME_TYPE);
  $mimeType = finfo_file($finfo, $filePath);
  finfo_close($finfo);
      </font>

• 限制上传目录权限：禁止执行脚本（如 .php）
• 重命名上传文件：避免利用已知文件名攻击

常见问题与注意事项

某些图像编辑软件可能在文件头部添加额外数据（如元信息），影响读取。建议多读取一些字节并跳过常见干扰位，或结合多种方法交叉验证。

不要完全依赖 $_FILES['type']，该值由客户端提供，极易伪造。

基本上就这些，魔数检测虽不能百分百防御所有伪装，但能有效拦截大多数基础攻击手段。配合其他措施，可大幅提升文件上传的安全性。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~