在PHP中使用regex过滤掉有效的文件名

I have a PHP website where registered users can upload an avatar. One of the restrictions is that people can only upload either a .jpg or .jpeg file with only alphanumeric characters, anything else is rejected. This is to make sure I only get uploads like "avatar.jpg", and not "evilcode.php" or "secretcode.php.jpg". I'm also planning other checks, but right now I can't get this first step to work.

I am using this regex expression:

[a-zA-Z0-9]{1,150}+\.+(jpe?g)

This is the code I'm currently using. The function is called from another php file, with $_FILES['avatar'] as a parameter.

public function updateAvatar($avatar)
{
    $regex = '^[a-zA-Z0-9]{1,100}+\.+(jpe?g)$';
    $name = $avatar['name'];    
    $result = preg_match_all($regex, $name);
    if($result === 1)
    {
        return true;
    } else
    {
        return false;
    }
}

This always returns false, when uploading either "avatar.jpg", "code.php", or "duck.gif". According to the PHP manual, this code should be correct. The method returns either an integer or a boolean, and warns that you should use ===, not == to compare the result. Does anyone know what I did wrong?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

5条回答默认最新

douqiao2008 2014-01-02 10:38

关注

When you check yours incoming file through regex, it is possible to upload the exploit file with executable mime, so you must check mime of the file for safe uploading:

public function updateAvatar($avatar)
{
    $available_mimes = array(
        'jpeg' => 'image/jpeg',
        'jpg' => 'image/jpg',
        'iejpg' => 'image/pjpeg' // this mime sent Internet Explorer for jpg files
    );

    if(in_array($avatar['type'], $available_mimes)
    {
        return true;
    }
    else
    {
        return false;
    }
}

As for your regex function:

public function updateAvatar($avatar)
{
    // Use regex with ignore case flag (for validating jpg and JPG)

    // Uncomment next line, if you want to check files with "_" symbols at name
    // if(preg_match('/^(\w+)\.(jpe?g)$/i', $avatar['name']))

    if(preg_match('/^([a-z0-9]+)\.(jpe?g)$/i', $avatar['name']))
    {
        return true;
    } 
    else
    {
        return false;
    }
}

And try to use preg_match()

本回答被题主选为最佳回答 , 对您是否有帮助呢?

查看更多回答(4条)

报告相同问题？

关注问题

在PHP中使用regex过滤掉有效的文件名 php
2014-01-02 10:24

回答 5 已采纳 When you check yours incoming file through regex, it is possible to upload the exploit file with e
用于在PHP中过滤文件名的正则表达式 php
2011-04-21 19:43

回答 3 已采纳 If I interpret it correctly, you probably just want something like: /[.](flv|mp4|wmv)$/ The $ e
如何使用PHP过滤和重构json数据？ json php
2018-09-22 11:13

回答 1 已采纳 Decode the json, restructure the data, re-encode. Code: (Demo) // your $json = foreach (json_de
profanity-filter:基于Swearjar库PHP不雅过滤器
2021-05-18 05:38

基于PHP Swearjar库的亵渎过滤器安装作曲家需要dshumkov /亵渎过滤器用法预定义词典 $tester = new DShumkov\ProfaneFilter\Tester(); if ($tester->profane('son-of-a-bitch')) { return 'bad word detected...
php - 使用REGEX过滤/清理QUERY_STRING以防止RFI攻击 php
2011-07-13 10:49

回答 2 已采纳 If you want to prevent remote file inclusion, you could simply disable the stream wrappers, e.g.
PHP：过滤字符串中的特定模式 php
2015-06-25 18:54

回答 2 已采纳 You may use regex (?P<ID>\d+)\s+(?P<IP>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}:\d+)\s(?P&l
PHP Regex在BBCode标签之间获取文本 php
2012-03-09 20:39

回答 1 已采纳 I think you're searching for something like this <?php preg_match_all("/\[code\](.*?)\[\/code\
php-emoji-regex:用于解析字符串表情符号的正则表达式类
2021-05-27 04:48

PHP Emoji Regex解析器用于解析字符串表情符号的正则表达式类安装安装此软件包的首选方法是通过： composer require kozz/emoji-regex 变更日志 04.03.2019-添加了所有新的表情符号代码，包括复合符号
如何用PHP过滤字符串？ [重复] php
2017-03-15 22:23

回答 3 已采纳 Those strings are serialized variables. Arrays specifically. use unserialize() to get the array
过滤这些字符串PHP的最佳方法 php
2013-07-08 01:21

回答 3 已采纳 With explode $arr = explode(';',$str); $arr = $arr[count($arr) - 2]; // get the last link $arr =
如何用PHP中的单个标点符号替换所有重复的标点符号？ php
2015-01-14 20:12

回答 1 已采纳 You can use: $str = preg_replace('~((?<!:)[^\p{L}\p{N}])\1+~u', '$1', $str); //=> Hello. ho
low_regex:用于Craft.io CMS 的 Twig preg_replace 过滤器
2021-06-28 11:58

向 Twig 添加 preg_replace 过滤器。现在已经过时了，因为 Craft 现在拥有。用法 {{ var | regex([pattern], [replacement]) }} 例子 {{ entry.website | regex('#^https?://(www\.)?(.*?)/?$#', '$2') }}
PHP：使用过滤器删除XML中的无效utf-8字符 php xml
2010-11-19 10:32

回答 1 已采纳 No, I don't think it will work. It will strip valid sequences of code units that happen to be spli
php正则过滤字母,使用正则表达式过滤php中波斯语中的某些单词
2021-04-23 18:14

研严言的博客我正在研究一个脚本,该脚本将从短信中识别令人反感的单词.问题在于,有时用户会对单词进行一些更改,使它们无法识别.我的代码必须能够尽可能地识别出这些.首先,我将所有非数字字符替换为空格.接着：我已经写了两个正则...
php敏感字符串过滤_PHP实现敏感词过滤
2020-12-24 06:15

weixin_39557199的博客 (英语：Regular Expression，在代码中常简写为regex、regexp或RE)，计算机科学的一个概念。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本。本文讲述PHP实现的敏感词过滤方法，涉及php字符串正则匹配...
没有解决我的问题, 去提问

悬赏问题

¥15 用友U8：向一个无法连接的网络尝试了一个套接字操作，如何解决？
¥30 我的代码按理说完成了模型的搭建、训练、验证测试等工作(标签-网络|关键词-变化检测)
¥50 mac mini外接显示器画质字体模糊
¥15 TLS1.2协议通信解密
¥40 图书信息管理系统程序编写
¥20 Qcustomplot缩小曲线形状问题
¥15 企业资源规划ERP沙盘模拟
¥15 树莓派控制机械臂传输命令报错，显示摄像头不存在
¥15 前端echarts坐标轴问题
¥15 ad5933的I2C

码龄粉丝数原力等级 --

在PHP中使用regex过滤掉有效的文件名

5条回答默认最新

码龄粉丝数原力等级 --

悬赏问题

在PHP中使用regex过滤掉有效的文件名

5条回答 默认 最新

悬赏问题

5条回答默认最新