-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Как определить mime type файла?
- Автор темы Bermuda
- Дата начала
korchasa
LIMB infected
Re: Как определить mime type файла?
Хотя я бы рекомендовал вам написать адаптеры для разных методов определения, и применять разные в зависимости от сервера. Это не ваши проблемы, что клиенты при выборе между VPS linux и shared windows они сделали неправильный выбор
А почему PECL не подощел? Не скомпилировался?
Вряд ли в мире нашлись извращенцы, которые анализируют сигнатуры файлов на РНР. Поищите на Perl, если perl вас, конечно, устроит. Он ведь тоже не на каждом хостинге.
Хотя я бы рекомендовал вам написать адаптеры для разных методов определения, и применять разные в зависимости от сервера. Это не ваши проблемы, что клиенты при выборе между VPS linux и shared windows они сделали неправильный выбор
А почему PECL не подощел? Не скомпилировался?
SiMM
Новичок
> У картинки можно проверить размер. А еще можно попробовать изменить ее размер.
Ничего это не меняет.
> затем, что мне просто не нужно обслуживать файлы с содержимым которое мне потенциально не нужно
Расширения (или списка для выбора типа документа) для этого более чем достаточно, а пользователь, подсовывающий незнамо что под видом чего-то другого - сам себе злобный буратино.
> Я вообще не понимаю, что должны были курить авторы PHP, чтобы у кодеров закрепилась стойкая ассоциация, что отдача файла скриптом чревата его выполнением.
Свои фантазии прошу держать при себе.
Ничего это не меняет.
> затем, что мне просто не нужно обслуживать файлы с содержимым которое мне потенциально не нужно
Расширения (или списка для выбора типа документа) для этого более чем достаточно, а пользователь, подсовывающий незнамо что под видом чего-то другого - сам себе злобный буратино.
> Я вообще не понимаю, что должны были курить авторы PHP, чтобы у кодеров закрепилась стойкая ассоциация, что отдача файла скриптом чревата его выполнением.
Свои фантазии прошу держать при себе.
Wicked
Новичок
Bermuda, пока что ты ничего не написал про то, под каким именем ты будешь сохранять файл. Тогда предлагаю рассмотреть такой случай, на который намекает SIMM:
1) я аплоажу тебе файл image.php, содержимое которого является тупо jpeg-картинкой с некоторым php-кодом, прописанным в exif.
2) твой фильтр глядит на это дело, и понимает, что это реально картинка, и (предположим) сохраняет его на сервере тоже под именем image.php.
внимание, вопрос: как поступит с этим файлом любой уважающий сервер при запросе этого файла по http?
1) я аплоажу тебе файл image.php, содержимое которого является тупо jpeg-картинкой с некоторым php-кодом, прописанным в exif.
2) твой фильтр глядит на это дело, и понимает, что это реально картинка, и (предположим) сохраняет его на сервере тоже под именем image.php.
внимание, вопрос: как поступит с этим файлом любой уважающий сервер при запросе этого файла по http?
Bermuda
Новичок
Андрейка
Например, администратор не хочет видеть некоторые файлы на сайте. Например, в случае когда файлы имеют постобработку. Также для уменьшения количества ошибок пользователя, дабы ему воовремя сообщить, что он проталкивает че-то не то, чтобы он потом не удивлялся, что его файлы не видно.
jonjonson
Тут все ширше/ширее
Реально файл будет хранится в папке недоступной через веб.
При запросе файла
http://host/uploads/foo.bar
Будет сгенерирована ошибка 404, потому как такого файла нет. Обработчиком ошибки будет php-скрипт который сделает запрос к базе по имени файла, найдет его идентификатор, прочитает содержимое файла и отдаст клиенту. Уникальность имен файлов обеспечивается.
-~{}~ 17.10.07 08:24:
Например, администратор не хочет видеть некоторые файлы на сайте. Например, в случае когда файлы имеют постобработку. Также для уменьшения количества ошибок пользователя, дабы ему воовремя сообщить, что он проталкивает че-то не то, чтобы он потом не удивлялся, что его файлы не видно.
Ну на си же анализируют, да?
Как раз-таки мои. Фрэймворк должен работать на большинстве стандартных хостингов.
Всем подошел, но не на каждом хостинге есть.
jonjonson
Тут все ширше/ширее
Попробую описать структуру
Код:
/public -- веб-корень
/public/index.php
/private/
/private/uploads/
файлы хранятся здесь
/private/uploads/1
/private/uploads/2
/private/uploads/3
/private/uploads/4
/private/uploads/5
/private/uploads/6При запросе файла
http://host/uploads/foo.bar
Будет сгенерирована ошибка 404, потому как такого файла нет. Обработчиком ошибки будет php-скрипт который сделает запрос к базе по имени файла, найдет его идентификатор, прочитает содержимое файла и отдаст клиенту. Уникальность имен файлов обеспечивается.
Я не против.
Э нет, под тем же именем это вряд ли. Как минимум я бы сменил расширение, на правильное определенное по типу файла (это если бы я хотел выложить файлы для прямого доступа). В идеале файл сохраняется на диск с уникальным именем и без расширения. Также в базу сохраняется его оригинальное имя, с которым файл будет отдан клиенту. А если бы я был очень суров, то я бы завел таблицу соответствия типа файла расширению, и если закачанный файл этому условию не соответствует, то пусть гуляет лесом.
-~{}~ 17.10.07 08:24:
В моем случае сервер сгенерит ошибку 404 и перенаправит ее с параметрами на index.php, который в свою очередь отдаст клиенту файл.
Wicked
Новичок
хотя ладно.
у меня есть четкое убеждение, что:
1) ты решаешь высосанную из пальца проблему: как часто, по твоему, тебе будут присылать файлы, у которых тип содержимого не соответствует расширению? Я бы забил на таких юзеров в виду их немногочисленности.
2) Ты зря прогибаешься под юзера. Я бы на таких забил еще и потому, что они сами себе злобные буратины.
3) из-за этого ты уже начинаешь иметь проблемы: о чем говорит сам факт того, что тебе нужно сделать такую не совсем тривиальную штуку; отдавать файлы скриптом, а не веб-сервером - тоже не сахар. И т.д.
Больше убеждать тебя не буду.
-~{}~ 17.10.07 13:47:
Bermuda
у меня есть четкое убеждение, что:
1) ты решаешь высосанную из пальца проблему: как часто, по твоему, тебе будут присылать файлы, у которых тип содержимого не соответствует расширению? Я бы забил на таких юзеров в виду их немногочисленности.
2) Ты зря прогибаешься под юзера. Я бы на таких забил еще и потому, что они сами себе злобные буратины.
3) из-за этого ты уже начинаешь иметь проблемы: о чем говорит сам факт того, что тебе нужно сделать такую не совсем тривиальную штуку; отдавать файлы скриптом, а не веб-сервером - тоже не сахар. И т.д.
Больше убеждать тебя не буду.
-~{}~ 17.10.07 13:47:
Bermuda
где тут условие, у которого можно проверить истинность или ложность?
Bermuda
Новичок
Wicked
Отдавать файлы скриптом мне нужно еще и потому что
- пользователь может не иметь прав для доступа к файлу (недостаточно привелегий)
- документ имеет флаг публикациии
- документ имеет дату публикации и дату "смерти"
Т. е. мне нужно контролировать доступ к файлу по еще нескольким условиям.
-~{}~ 17.10.07 08:56:
Отдавать файлы скриптом мне нужно еще и потому что
- пользователь может не иметь прав для доступа к файлу (недостаточно привелегий)
- документ имеет флаг публикациии
- документ имеет дату публикации и дату "смерти"
Т. е. мне нужно контролировать доступ к файлу по еще нескольким условиям.
Если ты заметил, то несколькими фразами выше я уже отказался от этой идеи. А вот пообсуждать и послушать умных людей мне всегда интересно
-~{}~ 17.10.07 08:56:
image/pjpeg может иметь расширения jpg, jpeg, jpe. Если тип определен как image/pjpeg, а расширение другое, то вот тебе и условие. В зависимости от суровости можно либо менять расширение, либо отправлять гулять лесом.
SiMM
Новичок
> Т. е. мне нужно контролировать доступ к файлу по еще нескольким условиям.
Для этого необязательно отдавать файл скриптом.
http://phpclub.ru/talk/showthread.php?postid=532195#post532195
Для этого необязательно отдавать файл скриптом.
http://phpclub.ru/talk/showthread.php?postid=532195#post532195
jonjonson
Охренеть
Bermuda, нафиг не нужно никакого определения типа файла. Всё намного проще. Загружаемый файл должен иметь допустимое расширение. На сервисе не должно быть прав на смену расширения файла. Всё.
При ресазе для изображений или создании тумбнейлов графические функции сами определят, подходит ли для них файл в качестве источника.
При ресазе для изображений или создании тумбнейлов графические функции сами определят, подходит ли для них файл в качестве источника.