这里不仅仅是编码问题,而是与安全性有关的一般性问题.
我目前正在开发一个允许用户提交内容的项目.
该内容的关键部分是用户上传Zip文件.
zip文件应该只包含mp3文件.
我目前正在开发一个允许用户提交内容的项目.
该内容的关键部分是用户上传Zip文件.
zip文件应该只包含mp3文件.
然后我将这些文件解压缩到服务器上的目录,以便我们可以在网站上传输音频供用户收听.
我担心的是,这会打开一些可能具有破坏性的zip文件.
我过去读过’zipbombs’,显然不希望恶意zip文件造成损坏.
那么,有没有一种安全的方法呢?
我可以扫描zip文件而不先解压缩,如果它包含MP3以外的任何内容,请删除它或向管理员发出警告?
如果它有所作为我正在wordpress上开发网站.
我目前使用wordpress的内置上传功能让用户将zip文件上传到我们的服务器(我不确定wordpress中是否有任何形式的安全性来扫描zip文件?)
代码,只从zip中提取MP3,忽略其他内容
$zip = new ZipArchive();
$filename = 'newzip.zip';
if ($zip->open($filename)!==TRUE) {
exit("cannot open <$filename>\n");
}
for ($i=0; $i<$zip->numFiles;$i++) {
$info = $zip->statIndex($i);
$file = pathinfo($info['name']);
if(strtolower($file['extension']) == "mp3") {
file_put_contents(basename($info['name']),$zip->getFromIndex($i));
}
}
$zip->close();
我会使用像id3_get_version(http://www.php.net/manual/en/function.id3-get-version.php)这样的东西来确保文件的内容也是mp3
