文件上传安全校验,看似基础实则暗藏玄机。许多开发者习惯在控制器中使用 validate(['ext' => ['jpg', 'png']]) 来限制上传格式,然而这种做法存在明显隐患——攻击者只需构造一个 shell.php.jpg 这样的双后缀文件,便能轻松绕过扩展名白名单。真正可靠的安全方案是:借助 finfo_file() 函数,直接读取文件二进制头部信息以判定真实MIME类型,而非依赖文件扩展名或浏览器提交的不可信"MIME"字段。

为什么 $_FILES['x']['type'] 和 validate(['mime' => ...]) 都不可信
先来剖析一个核心问题:当浏览器上传文件时,HTTP请求会自动附带一个 $_FILES['file']['type'] 字段,但该字段完全可由前端篡改,毫无可信度可言。例如,攻击者完全可以将一个PHP文件在前端声明为 image/jpeg,然后顺利提交至服务器。而ThinkPHP 内置的 validate(['mime' => 'image/jpeg']) 校验规则,在其 6.x 版本中默认仍以这个不可信的字段作为比对依据——除非开发者主动调用 getMime() 触发真正的文件类型探测。换言之,默认配置下的这套MIME校验机制,防御能力极其有限。
真正的安全分水岭在于:直接读取上传文件的二进制头部信息。这正是 finfo_file() 函数的职责所在。
finfo_file()底层调用的是系统libmagic魔数数据库,它仅根据文件前几个字节的魔数(magic bytes)进行判断,扩展名和HTTP头部信息对它毫无影响。- 调用时必须确保路径正确:应使用
$_FILES['x']['tmp_name']或$file->getRealPath()。切勿在文件执行move()之后再去读取路径,因为移动后的文件权限可能发生变化,SELinux 等安全机制可能直接阻断访问。 - 当返回值是
application/octet-stream时,不必立即判定为非法文件。这通常意味着文件过小、已损坏,或魔数数据库中未收录该类型。此时建议手动编写魔数校验逻辑作为兜底方案。
ThinkPHP 中正确调用 finfo_file() 的位置和写法
调用时机至关重要。务必在 validate() 校验通过之后、move() 移动文件之前,插入真实的MIME类型探测逻辑。ThinkPHP 提供的 $file->getMime() 方法,本质上就是对 finfo_file() 的封装——前提是PHP环境已正确安装 fileinfo 扩展。
- 如何确认扩展可用?在终端执行
php -m | grep fileinfo。若没有任何输出,需前往 php.ini 配置文件中取消extension=fileinfo的注释。 - 控制器中调用极为简洁:
$realType = $file->getMime();,该写法等价于手动执行finfo_file($finfo, $file->getRealPath())。 - 白名单匹配必须采用完整字符串精确比对。不建议使用
strpos($realType, 'image/') === 0这类模糊匹配,应直接使用in_array($realType, ['image/jpeg', 'image/png'], true),第三个参数true表示开启严格模式。 - 当
$realType为空或等于application/octet-stream时,建议额外读取文件前 8 个字节进行魔数硬编码校验。例如判断PNG格式:substr(bin2hex(fread($fp, 8)), 0, 8) === '89504e47'。
如何避免 getMime() 返回空或误判
getMime() 返回空值或 application/octet-stream,未必是代码逻辑有误,更常见的原因是上传链路的某个环节出现了异常。
- Nginx 用户应检查
client_max_body_size配置是否设置过小,导致文件被截断,finfo自然无法正确识别。 - 若使用 Apache 并开启了 mod_security 模块,它可能会改写临时文件内容,破坏文件的魔数信息。
- Windows 环境下,如果
tmp_name路径中包含中文或空格,finfo_file()会静默失败。建议先通过move_uploaded_file()将文件移至安全的绝对路径,再执行MIME探测。 - CLI 命令行模式下不存在
$_FILES全局变量,此时调用$file->getMime()必然报错——ThinkPHP 的上传类并不支持CLI模式下的模拟请求。 - 部分 Docker 镜像为追求体积最小化,会移除
fileinfo扩展,构建阶段需显式安装并启用该扩展。
归根结底,核心安全理念在于:真实的MIME校验绝不仅仅是“开启 fileinfo 就高枕无忧”的单一防线。它应当是五层纵深防御体系中的一环——前端格式限制、扩展名白名单、文件大小控制、二进制头部探测、非Web目录隔离。任何一层出现疏漏,攻击者都可能利用双后缀、空字节注入或元数据篡改等手段突破防线。安全防护的本质,就是防范那些“意料之外”的攻击路径。
