PHP如何通过MIME类型检测文件类型

最可靠方式是用 finfo_file 读取文件内容识别 MIME 类型，因其基于文件头部字节指纹匹配；禁用 $_FILES['type'] 和 mime_content_type()；需配合扩展名白名单与文件头硬校验三重防御。

用 finfo_file 获取真实 MIME 类型最可靠

靠文件扩展名或 $_FILES['xxx']['type'] 判断类型基本等于没校验——浏览器传来的 type 字段完全由客户端控制，随便改。真正能信的只有文件内容本身。

PHP 自带的 finfo 扩展（基于 libmagic）是目前最稳妥的方式，它读取文件头部字节做指纹匹配：

• 必须启用 finfo 扩展（PHP 5.3+ 默认开启，但某些精简版可能关闭）
• 不要用 mime_content_type() —— 它只是 finfo 的封装，且已标记为 deprecated
• 创建 finfo 实例时，务必传 FILEINFO_MIME_TYPE，别漏掉 _TYPE 后缀，否则返回完整 MIME 字符串（含 charset），增加后续判断负担

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);

常见 MIME 校验陷阱：图片 ≠ image/*，PDF 也可能被识别成 application/octet-stream

不是所有合法文件都能被准确识别，尤其小文件、截断文件、或特殊构造的“双扩展名”文件（比如 shell.php.jpg）。finfo 返回结果不稳定是常态。

• image/jpeg、image/png 可信；但 image/gif 遇到动画 GIF 有时会返回 image/x-xbitmap（极少见，但存在）
• PDF 文件若开头缺失 %PDF- 签名，可能被识别为 application/octet-stream 或 text/plain
• Office 文档（如 .docx）本质是 ZIP，finfo 常返回 application/zip，不能直接按 application/vnd.openxmlformats-officedocument 匹配
• 永远别写 if (strpos($mimeType, 'image/') === 0) 这种宽松判断——攻击者可伪造 image/xxx 开头的恶意 MIME

上传前必须配合扩展名白名单 + 文件头硬校验

单靠 MIME 不够，必须叠加两层防御：扩展名白名单 + 文件头字节检查（magic bytes）。三者缺一不可。

• 扩展名只取 pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)，别用 substr(strrchr()) 之类易被绕过的写法
• 对图片类文件，读取前 4–8 字节比对签名：
  — JPEG：\xff\xd8\xff
  — PNG： \x89\x50\x4e\x47\x0d\x0a\x1a\x0a
  — GIF： GIF8（ASCII）
• PDF 必须检查前 4 字节是否为 %PDF（注意 ASCII 字面量，不是 hex）
• 如果 finfo 返回 application/octet-stream，但文件头匹配图片签名，仍可放行——说明是真图但 magic db 没覆盖到

注意临时文件生命周期和权限问题

$_FILES['xxx']['tmp_name'] 是 PHP 上传后暂存的路径，仅在当前请求生命周期有效。调用 finfo_file() 必须在这期间完成，不能先 move 再校验。

• 别在 move_uploaded_file() 之后再调 finfo_file() —— 此时 tmp 文件已被清空或移走，finfo_file 会返回 false 或空字符串
• 确保 web server 用户（如 www-data）对临时目录有读权限；某些 SELinux 环境下还需额外策略允许 httpd 读取 tmp 文件
• 大文件上传时，finfo_file 默认只读前 8KB，对超长 PDF 或 ZIP 可能误判；如需更准，可用 finfo_set_flags($finfo, FILEINFO_CONTINUE)，但性能略降

最麻烦的地方往往不在逻辑，而在你忘了 finfo 对空文件、0 字节上传、或 post_max_size 截断后的残缺文件根本不会返回预期 MIME —— 这些边界情况不处理，校验就形同虚设。