php图片上传之文件安全

一般的文件上传不会对文件安全进行检查，一般之后会验证扩展名 简单的扩展名验证就是,php的$_FILES数组中的type 这个是非常不靠谱，仅仅是验证了文件的后缀名，靠谱一些的就是 exif_imagetype 、 getimagesize 来判断，这个对文件类型的来说还是很靠谱的 安

一般的文件上传不会对文件安全进行检查，一般之后会验证扩展名

简单的扩展名验证就是,php的$_FILES数组中的type

这个是非常不靠谱，仅仅是验证了文件的后缀名，靠谱一些的就是exif_imagetype、getimagesize来判断，这个对文件类型的来说还是很靠谱的

安全的做法

0、 linux上的杀毒软件 clamav

在测试环境下可以使用 clamscan命令去测试（很慢）

生产环境要启动 clamd服务，使用clamdscan去扫描文件（很快，毫秒级）

备注：最好添加一个定时任务，每天更新一下病毒库 freshclam

扫描到了病毒后的处理方法：

a、（建议）使用imagecreatefromjpeg等方法读取文件信息，重新创建一个文件，达到杀毒又不影响用户使用的目的

b、直接删除图片，打到坏分子

1、对于一般的中小型的网站不需要使用杀毒软件，只要控制好服务器和文件夹、文件的执行权限就可以了