PHP检测文件MIME类型方法详解

在PHP中安全检测用户上传文件的真实MIME类型至关重要，仅依赖客户端提交的`$_FILES['file']['type']`极易被恶意绕过；本文系统详解五种核心防护策略：首推基于libmagic库的`finfo_file()`内容识别法（需启用fileinfo扩展并严格比对完整MIME字符串），辅以魔数校验（直接读取文件头字节签名，精准识别JPEG、PNG、PDF等格式）、`getimagesize()`专项图像验证、扩展名与MIME双重绑定防伪装攻击，并明确禁用`mime_content_type()`、外部命令及宽松匹配等不安全旧方法——构建多层防线，真正守住文件上传的安全底线。

如果您在PHP中处理用户上传文件，但仅依赖浏览器提交的$_FILES['file']['type']字段判断类型，则可能被恶意绕过——该字段完全由客户端控制，不可信。以下是安全检测文件真实MIME类型的多种方法：

一、使用finfo_file读取文件内容识别（推荐）

该方法基于libmagic库，通过解析文件头部字节指纹匹配真实MIME类型，不依赖扩展名或客户端声明，是当前最可靠的方式。必须启用PHP fileinfo扩展，并确保使用FILEINFO_MIME_TYPE标志以获取纯净类型字符串。

1、检查fileinfo扩展是否已启用：var_dump(extension_loaded('fileinfo'));

2、创建finfo实例并指定FILEINFO_MIME_TYPE选项：$finfo = finfo_open(FILEINFO_MIME_TYPE);

3、传入临时文件路径获取MIME类型：$mimeType = finfo_file($finfo, $_FILES['file']['tmp_name']);

4、关闭finfo资源：finfo_close($finfo);

5、严格比对白名单中的完整字符串，例如：in_array($mimeType, ['image/jpeg', 'image/png', 'application/pdf'])

二、读取文件头魔数（Magic Bytes）硬校验

每种文件格式在起始字节具有唯一签名，直接读取前4–8字节进行十六进制比对，可规避finfo识别失败或误判风险，尤其适用于小文件、截断文件或特殊构造文件。

1、以二进制只读模式打开临时文件：$fp = fopen($_FILES['file']['tmp_name'], 'rb');

2、读取前8字节：$header = fread($fp, 8); fclose($fp);

3、将字节转换为十六进制字符串：$hex = bin2hex($header);

4、按需比对签名，例如PNG：substr($hex, 0, 8) === '89504e470d0a1a0a'

5、JPEG校验前2字节：substr($hex, 0, 4) === 'ffd8ff'

6、PDF校验前4字符ASCII：substr($header, 0, 4) === '%PDF'

三、调用getimagesize()验证图像类文件

该函数专为图像设计，能解析图像结构并返回真实MIME类型，同时验证图像数据完整性。若函数返回false，说明非有效图像；返回数组中['mime']键值即为可信类型。

1、执行图像尺寸与类型解析：$info = getimagesize($_FILES['file']['tmp_name']);

2、判断是否为合法图像：if ($info === false) { /* 拒绝 */ }

3、提取MIME类型：$mimeType = $info['mime'];

4、校验是否属于允许图像类型：in_array($mimeType, ['image/jpeg', 'image/png', 'image/gif'])

四、结合扩展名白名单与内容双重绑定

单一校验存在盲区，必须叠加扩展名合法性检查与内容校验结果一致性验证，防止“双扩展名”攻击（如shell.php.jpg）或类型伪装。

1、提取原始扩展名（禁用strrchr等易绕过方式）：$ext = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION));

2、建立扩展名与MIME映射白名单：$allowed = ['jpg' => 'image/jpeg', 'jpeg' => 'image/jpeg', 'png' => 'image/png', 'pdf' => 'application/pdf'];

3、确认扩展名存在于白名单中：isset($allowed[$ext])

4、确认finfo或魔数识别出的MIME与白名单中该扩展名对应值一致：$mimeType === $allowed[$ext]

5、两者同时满足才视为通过：if (isset($allowed[$ext]) && $mimeType === $allowed[$ext]) { /* 允许 */ }

五、禁用已废弃且不安全的方法

以下方法因设计缺陷或已被官方弃用，不得用于生产环境：使用mime_content_type()函数会触发PHP Deprecated警告且底层仍调用finfo，但封装层缺失关键参数控制；直接信任$_FILES['file']['type']等同于放弃校验，因该值完全由HTTP请求头伪造。

1、绝对禁止使用：$_FILES['file']['type']

2、禁止调用已标记为deprecated的函数：mime_content_type($_FILES['file']['tmp_name'])

3、禁止仅靠pathinfo()扩展名判断：if ($ext === 'jpg') { /* 不足以为凭 */ }

4、禁止使用exec('file -bi')等外部命令：系统权限失控且性能开销大

5、禁止宽松匹配MIME前缀：strpos($mimeType, 'image/') !== false

今天关于《PHP检测文件MIME类型方法详解》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！