在Symfony3上驗證文件擴展名

Question

我想在文件上傳之前驗證Symfony3上的文件擴展名。到現在爲止，我使用這個代碼（這是一個簡化版本，只是作爲一個片段）：

if ($form->isSubmitted() && $form->isValid()) { 
    $form->handleRequest($request); 
    $file = $form->get('file')->getData(); 
    $ext = $file->guessExtension(); 
    if($ext !== 'myextension'){ 
     die('not allowed'); 
    } 

    $name = md5($file->getClientOriginalName().time()); 
    $full_name = $name.'.'.$ext; 
    $dir = __DIR__.'/../../../web/upload'; 
    $file->move($dir,$full_name); 
} 

的問題是：將文件中的臨時目錄反正上傳？這是安全的嗎？有沒有更好的方法來做到這一點？我最擔心的是有人試圖上傳二進制文件或腳本。謝謝

編輯（感謝加布裏埃爾迪茨）：該文件是一個實體的財產。我用assert來聲明它：

/** 
    * @Assert\File(maxSize="20M") 
    */ 
    private $file; 

Answer 1

我認爲更好的方法是使用Symfony來保護它。由於該文件是實體的一部分，因此可以使用Assert/File註釋來添加一些約束和安全性。

/** 
* @Assert\File(
*  maxSize = "20M", 
*  mimeTypes = {"application/pdf", "application/x-pdf"}, 
*  mimeTypesMessage = "Please upload a valid PDF" 
* ) 
*/ 
private $file; 

有了這個symfony會處理這在服務器端，並返回一個錯誤給用戶，如果該類型不允許。此外，通過這種方法，您可以確保用戶只能上傳可用類型的文件。

您可以找到現有MIME類型here的列表以及可用symfony的所有約束列表 here。