1、 文件上传不能只相信某个位置显示的文件类型
2、保存上传的文件一定要重定义文件名称和后缀,不可直接使用某个从前端传递来的变量
/**
* @desc 判断文件格式是否正确
* @param $file object 文件对象
* @param $allow_types array 允许的文件类型数组
* @return bool
*/
public function checkFileType(&$file, $allow_types): bool
{
// 1.通过文件MIME类型获取文件类型
$suffix_arr = $this->fileMIME($file['tmp_name']);
if ($suffix_arr === false) return false;
// 2.pathinfo获取文件类型
$arr = explode('.',$file['name']);
$suffix = strtolower(array_pop($arr));
// 验证文件本身类型与文件名称带的类型是否一致
if (!in_array($suffix, $suffix_arr)) {
return false;
}
// 验证是否为允许的文件类型
if (!in_array($suffix, $allow_types)) {
return false;
}
// 赋值自定义文件名称和后缀
$name = date('YmdHis').rand(1000,9999);
switch ($suffix) {
case 'mp4':
$file['name'] = 'video'.$name.'.mp4';
break;
case 'jpg':
$file['name'] = 'image'.$name.'.jpg';
break;
case 'jpeg':
$file['name'] = 'image'.$name.'.jpeg';
break;
case 'png':
$file['name'] = 'image'.$name.'.png';
break;
case 'html':
$file['name'] = 'web'.$name.'.html';
break;
case 'xlsx':
$file['name'] = 'excel'.$name.'.xlsx';
break;
case 'xls':
$file['name'] = 'excel'.$name.'.xls';
break;
default:
return false;
}
return true;
}
/**
* @desc php Fileinfo获取文件MIME类型(finfo_open) 获取文件类型
* @param $tmp_name string 文件临时保存地址tmp格式
* @return array|bool
*/
private function fileMIME($tmp_name)
{
$finfo = finfo_open(FILEINFO_MIME); // 返回 mime 类型
$arr = explode(';', finfo_file($finfo, $tmp_name));
finfo_close($finfo);
// dd($arr);
switch ($arr[0]) {
case 'video/mp4':
return ['mp4'];
case 'image/jpeg':
return ['jpg', 'jpeg', 'png'];//jpg、jpeg、png可能存在image/jpeg与文件格式不一致的情况
case 'image/png':
return ['jpg', 'jpeg', 'png'];
case 'image/jpg':
return ['jpg', 'jpeg', 'png'];
case 'text/html':
return ['html'];
case 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet':
return ['xlsx'];
default:
return false;
}
}
注:过来文件名称内的特殊符号,且过滤后缀(用户某些业务需要保持原始文件名称)
//过滤特殊符号
$name = preg_replace('/\s+/', '_', $value['name']);
// 去除后缀
$material_name = str_replace(strrchr($name, '.'), '', $name);
