PHP判断图片类型方法解析

答案：PHP通过getimagesize()函数验证文件头判断图片类型，结合$_FILES数组检查上传文件，利用imagecreatefrom系列函数重建图片以清除潜在恶意代码，并建议使用Fileinfo扩展或exif_imagetype增强类型识别，同时限制文件大小、设置目录权限及启用CSP策略提升安全性。

PHP判断图片类型，核心在于验证文件头信息，而不是仅仅依赖文件扩展名。因为扩展名很容易被篡改，而文件头则相对可靠。

解决方案

PHP判断图片类型，通常结合 $_FILES 数组和 getimagesize() 函数。 getimagesize() 不仅能获取图片尺寸，还能根据文件头判断图片类型。

<?php

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
  $file = $_FILES['image'];

  // 检查是否有文件上传错误
  if ($file['error'] !== UPLOAD_ERR_OK) {
    echo "上传出错: " . $file['error'];
    exit;
  }

  // 临时文件路径
  $tmp_name = $file['tmp_name'];

  // 获取图片信息
  $image_info = getimagesize($tmp_name);

  if ($image_info === false) {
    echo "不是有效的图片文件";
    exit;
  }

  // 获取图片类型
  $image_type = $image_info[2];

  // 定义允许的图片类型
  $allowed_types = [
    IMAGETYPE_GIF => 'gif',
    IMAGETYPE_JPEG => 'jpeg',
    IMAGETYPE_PNG => 'png',
    IMAGETYPE_BMP => 'bmp',
    IMAGETYPE_WEBP => 'webp'
  ];

  // 检查图片类型是否允许
  if (!in_array($image_type, array_keys($allowed_types))) {
    echo "不允许的图片类型";
    exit;
  }

  // 获取图片扩展名
  $image_ext = $allowed_types[$image_type];

  // 生成新的文件名
  $new_file_name = uniqid() . '.' . $image_ext;

  // 移动文件到指定目录
  $destination = 'uploads/' . $new_file_name; // 确保 uploads 目录存在且可写
  if (move_uploaded_file($tmp_name, $destination)) {
    echo "上传成功，文件名为: " . $new_file_name;
  } else {
    echo "移动文件失败";
  }
}
?>

<form action="" method="post" enctype="multipart/form-data">
  <input type="file" name="image">
  <button type="submit">上传</button>
</form>

getimagesize() 返回值说明：

$image_info[0] 和 $image_info[1] 分别是图片的宽度和高度。 $image_info[2] 是一个代表图片类型的常量，例如 IMAGETYPE_JPEG、IMAGETYPE_PNG 等。 $image_info[3] 是一个包含 height 和 width 属性的字符串，可以直接用于 HTML 的 <img> 标签。

如何防止上传恶意文件？

除了验证图片类型，还要注意以下几点：

1. 不要信任客户端的文件类型声明 ($_FILES['image']['type']): 客户端可以随意修改这个值，所以不能依赖它。

2. 限制文件大小: 通过 php.ini 中的 upload_max_filesize 和 post_max_size 设置，以及在 PHP 代码中检查 $_FILES['image']['size']。

3. 使用 imagecreatefromjpeg()、imagecreatefrompng() 等函数重新创建图片: 这样可以移除图片中可能存在的恶意代码。 例如：

   // 假设 $destination 是上传后的图片路径
   $image = imagecreatefromjpeg($destination); // 或者 imagecreatefrompng, imagecreatefromgif 等
   if ($image !== false) {
     // 创建一个新的图片，并保存
     imagejpeg($image, $destination, 80); // 或者 imagepng, imagegif
     imagedestroy($image); // 释放资源
   } else {
     // 处理无法创建图片的情况
     echo "无法处理图片";
     unlink($destination); // 删除上传的文件
     exit;
   }

4. 设置上传目录的权限: 确保上传目录只有 PHP 进程有写入权限，防止恶意脚本被执行。

5. 内容安全策略 (CSP): 配置 CSP 可以限制浏览器加载的资源，降低 XSS 攻击的风险。

如何处理不支持的图片类型？

getimagesize() 支持的图片类型有限。如果需要支持更多类型，可以使用第三方库，例如 exif_imagetype() 函数或者 Fileinfo 扩展。

exif_imagetype() 函数可以读取图片文件的 EXIF 头信息，从而判断图片类型。 但需要确保 PHP 已经安装了 exif 扩展。

if (function_exists('exif_imagetype')) {
  $image_type = exif_imagetype($tmp_name);
  if ($image_type !== false) {
    // 根据 $image_type 判断图片类型，参考 IMAGETYPE_* 常量
  } else {
    echo "不是有效的图片文件";
  }
} else {
  echo "exif 扩展未安装";
}

Fileinfo 扩展提供更通用的文件类型检测方法。

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime_type = finfo_file($finfo, $tmp_name);
finfo_close($finfo);

// 根据 $mime_type 判断图片类型，例如 image/jpeg, image/png

需要注意的是，即使使用了这些方法，仍然不能完全保证 100% 的安全性。 最佳实践是结合多种验证手段，并定期更新安全策略。