[HaBo]

she3p · 10.12.09, 09:48

Guten Morgen.
Seit längerem nun steh ich vor dem Problem einer sauberen MimeType-Überprüfung in PHP. Das Problem dabei ist nicht die fehlende Funktionalität in PHP, sondern verschiedene unglückliche Parameter.

Zum einen fehlt auf der von mir zu gebrauchenden Serverinstallation (Windows) das sogenannte "magic"-File.
Somit fällt die Funktion

PHP-Code:

  mime_content_type()

weg, da gemäss Manual die MimeTypes per magic.mime eruiert werden.

Code:

Returns the MIME content type for a file as determined by using information from the magic.mime file.

Weiter gäbe es ja die in PHP6 standardmässig gebrauchte Klasse Fileinfo und die dementsprechenden fifo-funktionen welche allerdings auf meiner
PHP-Installation nicht zur Verfügung steht.
Womit diese Option auch wegfällt.

Nun weitere sichere (und in PHP integrierte) Möglichkeiten gibt es m.E. nicht, oder seh ich das falsch? Die meisten weiteren Contributions im Netz drehen sich nur um die Analysation der file-extension.
Zu erwähnen wäre vielleicht, dass ich keine system() / exec() absetzten kann & auch nicht will.

Also hab ich mich drangemacht selbst eine kleine Lösung zu schreiben, mit welcher ich allerdings nicht ganz zufrieden bin.

Prinzipiell ist es nur eine weitere Integration des magic.mime, aber seht selbst.

PHP-Code:

  <?php

 
    $file = 'yourfile.ext';

    $handle = fopen ($file, "r");

    $buffer = fgets($handle); //just the first line (no loop is needed)

    fclose ($handle);

    

    $matches = array();

    preg_match_all('/[A-Za-z0-9,.-\/]+/', $buffer, $matches);

 
// show $matches

 
?>

für eine .exe kriege ich zum Beispiel ein $matches-Array wie das folgende

Code:

array(1) {
  [0]=>
  array(10) {
    [0]=>
    string(2) "MZ"
    [1]=>
    string(1) "L"
    [2]=>
    string(4) "This"
    [3]=>
    string(7) "program"
    [4]=>
    string(6) "cannot"
    [5]=>
    string(2) "be"
    [6]=>
    string(3) "run"
    [7]=>
    string(2) "in"
    [8]=>
    string(3) "DOS"
    [9]=>
    string(5) "mode."
  }
}

Das erste Element ist nun das Entscheidende. Im magic-File nun nach MZ gesucht findet man das folgende

Code:

sheeep@foobar:~$ cat /etc/apache2/magic | grep MZ
0        string            MZ                application/x-dosexec
0        string    MZ
0        string    MZ
0        string    MZ
0        string    MZ
0        string    MZ        application/octet-stream

Eine exe als octet-stream zu deklarieren ist richtig, also dürfte die Evaluation stimmen. (Auch für weitere Dateien getestet)

magic beinhaltet teilweise auch byte-Überprüfungen wie die folgende:

Code:

>43    byte        0x14        application/ichitaro4

Meines Erachtens lässt sich dies mit PHP nicht überprüfen, oder irre ich mich da?

Auch gibt es Dateien (zB ein normales Textfile), welches mit dieser Methode nicht analysiert werden kann, da es bereits einen text/plain header besitzt und mir somit die wirkliche erste Zeile ausgibt. (Welche mit Sicherheit matcht

)

Zum anderen ist das magic-file 935 Zeilen schwer, was einen nicht zu übergehenden Aufwand für die Integration bedeuten würde

Nun, kennt ihr weitere Möglichkeiten einen MimeType eines Files sicher zu finden? Oder sollte ich mich an dieser Lösung austoben?
(Bzw: auf PHP6 warten

)

PS: Mein Code ist nur ein POC, RegEx ist nicht ausgereift und keine Überprüfungen gemacht, sollte aber für die Idee reichen.

Thunderb0lt · 10.12.09, 18:49

Was genau hast du denn vor? Wenn es z.B. darum geht bei einem Upload den MIME Type zu ermitteln, dann steht dir dafür in $_FILES das Element "type" zur Verfügung.

HaBo Ads

she3p · 10.12.09, 19:17

Zitat:

Zitat von Thunderb0lt

Was genau hast du denn vor? Wenn es z.B. darum geht bei einem Upload den MIME Type zu ermitteln, dann steht dir dafür in $_FILES das Element "type" zur Verfügung.

Nun ja, grundsätzlich nicht nur für Uploads. Wenn ich schon Klassen schreiben müssen Sie auch konsistent sein

Even if: Einige Tests sagen mir; $_FILES['filename_here']['type'] prüft nicht sehr genau.

Code:

sheeep@foobar:~$ touch foo.exe

ergibt folgenden Output

Code:

array(1) {
 ["foo"]=>
  array(5) {
    ["name"]=>
    string(7) "foo.exe"
    ["type"]=>
    string(31) "application/x-ms-dos-executable"
    ["tmp_name"]=>
    string(14) "/tmp/php8T9EJZ"
    ["error"]=>
    int(0)
    ["size"]=>
    int(0)
  }
}

Darauf allerdings kann ich nicht gehen. Ein leeres File dürfte keinen Type application/x-ms-dos-executable haben. Oder doch?

Weiter im Text.

Code:

sheeep@foobar:~$ echo "this is me" > test.txt

Code:

["type"]=>     string(10) "text/plain"

Dann aber.

Code:

sheeep@foobar:~$ mv test.txt test.pdf

Code:

["type"]=>     string(15) "application/pdf"

Meiner Meinung nach dürfte die Upload-Routine von PHP nur auf die Extension des Files schliessen, was wiederum nicht wirklich hilfreich ist. (Jedenfalls genügt es meinen Ansprüchen nicht.

)

BasicAvid · 11.12.09, 17:22

Zitat:

Meiner Meinung nach dürfte die Upload-Routine von PHP nur auf die Extension des Files schliessen, was wiederum nicht wirklich hilfreich ist.

Nicht PHP legt den MimeType fest, sondern der Browser, deshalb gibt es auch immer wieder Probleme mit der MimeType überprüfung, da z.B. IE6, IE7 und FF unterschiedliche MimeTypes für ein und das selbe File übergeben.

she3p · 11.12.09, 18:39

Zitat:

Zitat von BasicAvid

Nicht PHP legt den MimeType fest, sondern der Browser, deshalb gibt es auch immer wieder Probleme mit der MimeType überprüfung, da z.B. IE6, IE7 und FF unterschiedliche MimeTypes für ein und das selbe File übergeben.

you're right.

Code:

$_FILES['userfile']['type']

The mime type of the file, if the browser provided this
information. An example would be "image/gif". 
This mime type is however not checked on the PHP side 
and therefore don't take its value for granted.

Einen Grund mehr, dieser Information keine Beachtung zu schenken.

easteregg · 15.12.09, 12:31

http://de2.php.net/manual/de/book.fileinfo.php

finfo ftw

das ist recht zuverlässig und leider erst aber der php5.3 direkt eingebaut. wird zeit, dass das bei debian mal standard wird.

she3p · 16.12.09, 16:02

Zitat:

Zitat von easteregg

http://de2.php.net/manual/de/book.fileinfo.php

finfo ftw

das ist recht zuverlässig und leider erst aber der php5.3 direkt eingebaut. wird zeit, dass das bei debian mal standard wird.

Danke, leider schrieb ich in der Threadbeschreibung

Zitat:

Weiter gäbe es ja die in PHP6 standardmässig gebrauchte Klasse Fileinfo und die dementsprechenden fifo-funktionen welche allerdings auf meiner
PHP-Installation nicht zur Verfügung steht.
Womit diese Option auch wegfällt.

Aber hast schon recht, 5.3 les ich gerade

easteregg · 16.12.09, 16:04

sry, da habsch auch nicht richtig gelesen

bliebe abgesehen von php5.3 noch die pecl lösung, was spricht gegen die?

she3p · 16.12.09, 17:18

Zitat:

Zitat von easteregg

bliebe [...] noch die pecl lösung, was spricht gegen die?

Kleine Worte, grosse Wirkung. Warum hab ich nicht an PECL gedacht.

Danke schön.

enkore · 17.12.09, 14:43

Gibt es eigentlich auch unter Windows eine zuverlässige Methode den Mimetype zu bestimmen?

she3p · 17.12.09, 16:33

Zitat:

Zitat von csde_rats

Gibt es eigentlich auch unter Windows eine zuverlässige Methode den Mimetype zu bestimmen?

PECL - FileInfo

Zitat:

Allows retrieval of information regarding a vast majority of file types. This information may include dimensions, quality, length etc.

Additionally it can also be used to retrieve the mime type for a particular
file and for text files proper language encoding.

Und falls bereits installiert: http://ch.php.net/fileinfo

(halt eben wie bereits im Thread erwähnt

)

enkore · 17.12.09, 18:05

Ich hatte meine Frage eigentlich nicht speziell auf PHP bezogen, sondern eher allgemein gestellt. Daher: Gibt es sowas auch für C?

Empfehlung

10.12.09, 09:48	#1 (permalink)
she3p Registriert seit: 07.05.07 Likes: 18	MimeType evaluation Guten Morgen. Seit längerem nun steh ich vor dem Problem einer sauberen MimeType-Überprüfung in PHP. Das Problem dabei ist nicht die fehlende Funktionalität in PHP, sondern verschiedene unglückliche Parameter. Zum einen fehlt auf der von mir zu gebrauchenden Serverinstallation (Windows) das sogenannte "magic"-File. Somit fällt die Funktion PHP-Code: `mime_content_type()` weg, da gemäss Manual die MimeTypes per magic.mime eruiert werden. Code: Returns the MIME content type for a file as determined by using information from the magic.mime file. Weiter gäbe es ja die in PHP6 standardmässig gebrauchte Klasse Fileinfo und die dementsprechenden fifo-funktionen welche allerdings auf meiner PHP-Installation nicht zur Verfügung steht. Womit diese Option auch wegfällt. Nun weitere sichere (und in PHP integrierte) Möglichkeiten gibt es m.E. nicht, oder seh ich das falsch? Die meisten weiteren Contributions im Netz drehen sich nur um die Analysation der file-extension. Zu erwähnen wäre vielleicht, dass ich keine system() / exec() absetzten kann & auch nicht will. Also hab ich mich drangemacht selbst eine kleine Lösung zu schreiben, mit welcher ich allerdings nicht ganz zufrieden bin. Prinzipiell ist es nur eine weitere Integration des magic.mime, aber seht selbst. PHP-Code: `<?php $file = 'yourfile.ext'; $handle = fopen ($file, "r"); $buffer = fgets($handle); //just the first line (no loop is needed) fclose ($handle); $matches = array(); preg_match_all('/[A-Za-z0-9,.-\/]+/', $buffer, $matches); // show $matches ?>` für eine .exe kriege ich zum Beispiel ein $matches-Array wie das folgende Code: array(1) { [0]=> array(10) { [0]=> string(2) "MZ" [1]=> string(1) "L" [2]=> string(4) "This" [3]=> string(7) "program" [4]=> string(6) "cannot" [5]=> string(2) "be" [6]=> string(3) "run" [7]=> string(2) "in" [8]=> string(3) "DOS" [9]=> string(5) "mode." } } Das erste Element ist nun das Entscheidende. Im magic-File nun nach MZ gesucht findet man das folgende Code: sheeep@foobar:~$ cat /etc/apache2/magic \| grep MZ 0 string MZ application/x-dosexec 0 string MZ 0 string MZ 0 string MZ 0 string MZ 0 string MZ application/octet-stream Eine exe als octet-stream zu deklarieren ist richtig, also dürfte die Evaluation stimmen. (Auch für weitere Dateien getestet) magic beinhaltet teilweise auch byte-Überprüfungen wie die folgende: Code: >43 byte 0x14 application/ichitaro4 Meines Erachtens lässt sich dies mit PHP nicht überprüfen, oder irre ich mich da? Auch gibt es Dateien (zB ein normales Textfile), welches mit dieser Methode nicht analysiert werden kann, da es bereits einen text/plain header besitzt und mir somit die wirkliche erste Zeile ausgibt. (Welche mit Sicherheit matcht ) Zum anderen ist das magic-file 935 Zeilen schwer, was einen nicht zu übergehenden Aufwand für die Integration bedeuten würde Nun, kennt ihr weitere Möglichkeiten einen MimeType eines Files sicher zu finden? Oder sollte ich mich an dieser Lösung austoben? (Bzw: auf PHP6 warten ) PS: Mein Code ist nur ein POC, RegEx ist nicht ausgereift und keine Überprüfungen gemacht, sollte aber für die Idee reichen. Geändert von she3p (16.12.09 um 17:18 Uhr)

15.12.09, 12:31	#6 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	http://de2.php.net/manual/de/book.fileinfo.php finfo ftw das ist recht zuverlässig und leider erst aber der php5.3 direkt eingebaut. wird zeit, dass das bei debian mal standard wird. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

16.12.09, 16:04	#8 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	sry, da habsch auch nicht richtig gelesen bliebe abgesehen von php5.3 noch die pecl lösung, was spricht gegen die? __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

17.12.09, 14:43	#10 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 60	Gibt es eigentlich auch unter Windows eine zuverlässige Methode den Mimetype zu bestimmen? __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

17.12.09, 18:05	#12 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 60	Ich hatte meine Frage eigentlich nicht speziell auf PHP bezogen, sondern eher allgemein gestellt. Daher: Gibt es sowas auch für C? __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

10.12.09, 18:49	#2 (permalink)
Thunderb0lt Registriert seit: 06.06.09 Likes: 6	Was genau hast du denn vor? Wenn es z.B. darum geht bei einem Upload den MIME Type zu ermitteln, dann steht dir dafür in $_FILES das Element "type" zur Verfügung.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


HaBo Ads HaBOT

[HaBo]

MimeType evaluation