Я создаю функцию загрузки на моем проекте. Я проделал другую проверку на существование, размер и тип, но было еще несколько необходимых валидаций. Я узнал о проверке mime, где независимо от того, какое расширение файла пользователь загружает, он проверяет реальную file.Below код сделал это для меня. Теперь, когда пользователь пытается загрузить файл .php как .png/jpg/jpeg или любое другое поддельное имя расширения, мой код ловит как тип вредоносного файла. Но у меня есть вопрос, что когда пользователь сначала загружает файл во временную директорию. Используется ли временный каталог с клиентского компьютера или с нашего сервера? Если это с нашего сервера, то этот вредоносный файл поддельного расширения может быть опасным для нас или нет?В каком временном каталоге используется сценарий загрузки?
$imageInfo = getimagesize($_FILES['file']['tmp_name']);
if ($imageInfo['mime'] == ("image/png") || $imageInfo['mime'] == ("image/jpeg")
|| $imageInfo['mime'] == ("image/jpg")) {
Приложение для загрузки предназначено только для изображения типа файла. (Jpg, jpeg и png - единственное расширение изображения, которое поддерживает мое приложение для загрузки) –