PHP怎样校验视频上传来源_PHP校验视频上传来源方式【校验】

不可靠的Referer校验应被一次性上传Token替代:服务端生成绑定用户ID与过期时间的签名Token,前端限时提交并经统一入口验证;同时用finfo_file校验真实MIME类型,配合Nginx路径限制与密钥隔离。

php怎样校验视频上传来源_php校验视频上传来源方式【校验】

$_SERVER['HTTP_REFERER'] 做来源判断不可靠

很多人第一反应是读取 $_SERVER['HTTP_REFERER'],但这个值由浏览器提供,可被任意伪造或清空(比如从书签打开、HTTPS 页面跳转到 HTTP、隐私模式等)。实际生产中,它只适合做辅助日志记录,**不能作为安全校验依据**。

  • 用户禁用 Referer 时该字段为空字符串
  • cURL、Postman 或恶意脚本上传完全绕过此检查
  • 同站跨协议(https → http)可能被浏览器主动剥离

真正有效的方案:服务端生成一次性上传 Token

核心思路是把「允许上传」的权限从客户端请求头转移到服务端可控的凭证上。前端在提交视频前,必须先向后端申请一个带签名、有时效的 $upload_token,再把它作为隐藏字段或请求头传给上传接口。

function generateUploadToken($user_id, $expire = 300) {
    $timestamp = time();
    $expire_at = $timestamp + $expire;
    $payload = "$user_id|$expire_at";
    $signature = hash_hmac('sha256', $payload, $_ENV['UPLOAD_SECRET_KEY']);
    return base64_encode("$payload|$signature");
}

// 验证时解码并检查
function verifyUploadToken($token) {
    $decoded = base64_decode($token);
    if (!$decoded || !preg_match('/^(/d+)/|(/d+)/|([a-f0-9]{64})$/', $decoded, $m)) {
        return false;
    }
    [$user_id, $expire_at, $sig] = [$m[1], $m[2], $m[3]];
    if (time() > $expire_at) return false;
    $expected = hash_hmac('sha256', "$user_id|$expire_at", $_ENV['UPLOAD_SECRET_KEY']);
    return hash_equals($expected, $sig);
}
  • Token 必须绑定用户 ID 和过期时间,防止重放
  • 使用 hash_equals() 防止时序攻击
  • 前端获取 Token 后,需在 5 分钟内完成上传,超时则拒绝

配合 Nginx / Apache 限制上传入口路径

即使有 Token,也要限制上传行为只能走指定接口,避免攻击者绕过 PHP 层直接 POST 到 /uploads/ 目录。

AskAI

AskAI

无代码AI模型构建器,可以快速微调GPT-3模型,创建聊天机器人

下载

  • Nginx 中禁止对 /uploads/ 目录的直接 PUT/POST 请求
  • 所有上传必须经由 /api/upload-video.php 统一入口
  • 该入口文件开头就调用 verifyUploadToken($_POST['token'] ?? '')
  • 上传成功后立即删除 Token(或用 Redis 设置一次有效)

额外加固:检查 finfo_file() 真实 MIME 类型

来源校验只是第一步,上传文件本身是否真为视频也得验证。仅靠 $_FILES['video']['type'] 毫无意义——它来自浏览器,同样可伪造。

立即学习PHP免费学习笔记(深入)”;

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['video']['tmp_name']);
finfo_close($finfo);

if (!in_array($mimeType, ['video/mp4', 'video/webm', 'video/quicktime'], true)) {
    die('Invalid video MIME type');
}
  • 必须用 finfo_file() 读取二进制头信息,不是扩展名也不是 $_FILES['type']
  • MP4 文件常见真实类型是 video/mp4,但某些编码可能返回 application/octet-stream,需结合扩展名+内容检测
  • 如果业务允许,建议转码后再保存,天然过滤伪视频文件

Token 签名密钥要和主应用密钥隔离,上传逻辑里别混用数据库密码或 JWT secret;另外,前端 JS 里永远不要暴露 UPLOAD_SECRET_KEY —— 它只存在于 PHP 的 .env 或配置文件中。

https://www.php.cn/faq/1990750.html

发表回复

Your email address will not be published. Required fields are marked *