La vérification du type mime en php est assez facile mais pour autant que je sache, le mime peut être usurpé. L'attaquant peut télécharger un script PHP avec par exemple un type jpeg mime. Une chose qui vient à l'esprit est de vérifier l'extension de fichier du fichier téléchargé et assurez-vous qu'il correspond au type mime. Tout cela suppose que le répertoire de téléchargement est accessible par navigateur.MIME Type spoofing
Question: Existe-t-il d'autres techniques pour empêcher les "mauvais fichiers" d'entrer dans l'usurpation de type mime?
Est-ce que votre question concerne l'usurpation de type mime ou voulez-vous simplement savoir comment valider les fichiers téléchargés pour vérifier s'ils sont des fichiers image? – CodeCaster
En fait, vous ne devriez pas compter sur les types MIME et l'extension de fichier en premier lieu (et votre vérification, si mime-> extension, est également faux, si je fausse mime, je peux simuler encore plus facilement une extension de fichier correspondante) –
@CodeCaster: Comment s'assurer que les fichiers que les types MIME des fichiers téléchargés ne sont pas usurpés? – abruski