Php. Как проверить файл mp3 на валидность?

Question

[Дмитрий Петрик]

Здравствуйте!
У меня стоит такая задача: нужно сделать загрузку файлов на сервер путем перетаскивания файлов в окно браузера в определенную область. Как дополнительное условие загружаться должны только аудио файлы формата mp3. В общем все сделал и работает.
Только подумалось, что можно переименовать любой НЕ аудио файл в mp3 и загрузить его на сервер, что не есть хорошо. С одной стороны проигрываться не будет, а с другой стороны кто знает что там загрузят? Собственно вопрос именно в этом: как проверить mp3 файл, что это действительно аудио файл и не загружать на сервер все остальное, что могут подсунуть под видом музыки? На клиенте проверяется только формат файла (mp3) через javascript. Более детальная проверка, думаю, должна вестись на сервере. Пока что скрипт серверной части имеет такой вид:

<?php
	$uploaddir = getcwd().DIRECTORY_SEPARATOR.'upload'.DIRECTORY_SEPARATOR;
	$uploadfile = $uploaddir.basename($_FILES['file']['name']);
	if($_FILES["file"]["type"]=="audio/mp3"){
		move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile);
	}
?>

Если по мимо самого решения проблемы дадите еще какие-нибудь дельные советы по этой задаче, буду благодарен :)

Answer 1

[RuslanCC]

Воспользуйтесь любым классом для работы с MP3 и проверьте битрейт, длительность и т.д. Если все корректно — значит это настоящий MP3.
Вот, например, один из классов — www.zend.com//code/codex.php?ozid=160&single=1

Comments

[Дмитрий Петрик]

Спасибо! Буду пробовать

[egorinsk]

Замечу, что никто не запрещает в комментарий настоящего, проходящего все проверки, mp3 файла засунуть PHP-код, и при определенном условии он будет выполнен (если на сервере Апач).

[Melkij]

egorinsk, любопытно, можете рассказать поподробнее, что за условие?
Почему это вообще становится возможным, я представляю — если комментарий в mp3 хранится как plain-text, то да, может быть исполнен.
А, ну и если файлу дать имя соответствующее (или другим образом натравить интерпретатор PHP на него) — точно, будет выполнен.
Интересно, не задумывался о таком.

[egorinsk]

У Апача есть интересная особенность — если у файла несколько раширений, и ему незнакомо последнее, он для определения типа берет предпоследнее, потом предпоследнее, и т.д. Таким образом, если в дефолтном конфиге Апача не описан mime-тип mp3 (тут я не уверен, так это или нет), то файл So-much-I.love.php.mp3 будет им воспринят как PHP файл и выполнен с помощью интерпретатора. А код проверки вроде «файл должен заканчиваться на .mp3» такой файл пройдет. И проверку «является ли файл mp3-файлом по содержимому» — тоже.

Это объяснение «для чайников», нормальное описание для специалистов можно почитать в мануале Апача в разделе mod_mime и content negotiation. Эта фича была задумана, чтобы например можно было сделать файлы index.php.de, index.php.en и подключать их в зависимости от языка, но открывает возможности для взлома сайтов. Например, формат rar мало известен на западе, и его нет в конфиге Апача, потому если сервер разрешает закачку .rar файлов, то (иногда) можно залить туда file.php.rar и благополучно его выполнить.

C картинками, например, такой трюк не пройдет, так как расширения png/jpeg/gif описаны в дефолтном конфиге и файл image.php.jpeg будет воспринят именно как картинка.

Чтобы не палиться со словом php в имени файла, иногда можно использовать менее известное расширение .phtml (на некоторых серверах оно тоже запускает php).

Правильный способ борьбы с такими уязвимостями (по моему не-экспертному мнению) — закачивать файлы в недоступную извне папку, вне корня сайта и отключать интерпретатор PHP насовсем в папке с пользовательскими файлами. Ну и не копипастить конфиг сервера из интернета, а внимательно составить самому, прочтя доукментацию. Ага, кто-то так будет делать.

Answer 2

[Anatol Pohorilyi]

В дополнение (если нужна работа не только с mp3) полезным будет такой вот комбайн getid3.org

Comments

[XaosSintez]

Да, им и пользовались в одном проекте.

Как дополнительная защита (а ну как прорвутся каким-нибудь образом!) — к файлам нет доступа с основного домена, только с особого, на котором только статика, т.е. бесполезно загружать PHP скрипты и прочие какости

Answer 3

[Dzuba]

Если есть возможность установки расширений PHP на сервер, то, дабы не изобретать велосипед, я бы рекомендовал PECL-расширение id3: php.net.
Мне кажется, это будет менее ресурсоемко и более скорострельно, нежели какие-либо классы, написанные на PHP.

Проверять, на мой взгляд, проще всего так:

$version = id3_get_version($filename);
if (!$version)
    die('Не аудиофайл!');

Comments

[Dzuba]

Добавлю. Само наличие тегов ID3 не является защитой от загрузки php-кода под видом mp3. Дело в том, что ID3 теги могут быть у любого файла, не обязательно mp3. Следовательно, они могут быть и у файла, содержащего код php, с именем, например, «file.php.mp3».
Поэтому предлагаю в именах загружаемых файлов, менять все точки, кроме последней, на "_". Таким образом, указанный файл сменит свое имя на безопасное «file_php.mp3».

Answer 4

[Sergey Belov]

Дайте ссылку на сервис, загрузим php (если форма аплоада, как выше) :)

Comments

[Дмитрий Петрик]

Сергей, я подправлю эту форму с учетом советов которые мне здесь дали, и обязательно дам Вам ссылку :)

Answer 5

[makkarpov]

Как вариант — проверка каких-то magic-значений, сам поток декодировать-то не обязательно. Кстати, ID3 тегов может просто не быть, а если есть — то никаких расширений не надо, всего лишь считать последние 128 байт файла — строка должна начинаться словом «TAG»

Comments

[Dzuba]

никаких расширений не надо, всего лишь считать последние 128 байт файла — строка должна начинаться словом «TAG»

Совершенно не обязательно. Это верно только в случае тегов ID3v1. В случае ID3v2, файл начинается сигнатурой «ID3» и может не содержать тегов ID3v1.
Вот чтобы не изобретать велосипед, я и посоветовал поставить это крохотное расширение. Которое, при вызове id3_get_version, наверняка делает тоже самое — читает файл и ищет признаки в определенных его местах. Только оно всесторонне протестировано, написано на языке низкого уровня и наверняка еще пригодится при отображении загруженных файлов.
В одном вы правы — файл без ID3 не будет распознан. Но такие файлы — большая редкость.

[makkarpov]

Да, извините, про ID3v2 я не подумал. Тут расширение, конечно, лучше. Что касаемо остального — ведь есть же у MP3 какие-то magic-значения

Answer 6

[Fyodor]

А на сервере расширение почему не проверяется?

Comments

[Дмитрий Петрик]

if($_FILES["file"]["type"]=="audio/mp3")

А это что?

[Fyodor]

если Mp3 файл обозвать song.php — он ведь пройдет такую проверку?

[Дмитрий Петрик]

Нет, не проходит. Разные попробовал. Только mp3 загружаются

[Melkij]

$_FILES[«file»][«type»] передаёт клиент. Там может быть всё, что угодно, в том числе никак несвязанное с файлом.

[Дмитрий Петрик]

Ну а как тогда правильно? Имя файла распарсить?

[Melkij]

Имя файла тем более не имеет никакого отношения к формату.
php.net/manual/en/book.fileinfo.php можно как первый уровень
Совет RuslanCC как основная валидация.

[Дмитрий Петрик]

Ну в этом то собственно и был вопрос в топике. Проверяется только тип файла в названии. А нужно было проверить именно его содержание :)

Answer 7

[Elkan]

Обычного установленного www.php.net/manual/en/book.fileinfo.php будет достаточно.