分析 WordPress `wp_get_image_mime()` 函数的源码：如何根据文件类型获取 MIME 类型。

各位观众老爷，晚上好！我是今晚的讲师，专门负责扒 WordPress 源码，今天咱们来聊聊 wp_get_image_mime() 这个小家伙。它看起来不起眼，但却在 WordPress 处理图片的时候扮演着重要的角色。咱们今天要做的就是把它扒个精光，看看它到底是怎么判断图片类型的。

开场白：MIME 类型的重要性

在 Web 开发的世界里，MIME 类型就像是文件的身份证，告诉浏览器或者服务器这个文件是什么类型的。如果 MIME 类型不对，浏览器可能就会把它当成乱码显示，或者直接拒绝加载。所以，准确地获取文件的 MIME 类型至关重要。

WordPress 的 wp_get_image_mime() 函数，顾名思义，就是用来获取图片 MIME 类型的。它在处理上传的图片、生成缩略图等等场景中都会用到。

源码剖析：wp_get_image_mime() 的真面目

接下来，我们就直接进入主题，看看 wp_get_image_mime() 的源码。

/**
 * Retrieve the mime type of an image file.
 *
 * @since 2.0.0
 *
 * @param string $file Path to the image file.
 * @return string|false The mime type on success, false on failure.
 */
function wp_get_image_mime( $file ) {
    // Use MIME types uploaded by the administrator, if available.
    $mime = wp_check_filetype( $file );

    if ( $mime['ext'] && $mime['type'] ) {
        return $mime['type'];
    }

    /**
     * Filters the image mime type based on the file path.
     *
     * @since 2.5.0
     *
     * @param string|false $mime The image mime type. Default false.
     * @param string       $file Path to the image file.
     */
    $mime = apply_filters( 'wp_get_image_mime', false, $file );

    if ( $mime ) {
        return $mime;
    }

    $image_size = @getimagesize( $file );
    if ( ! empty( $image_size['mime'] ) ) {
        return $image_size['mime'];
    }

    return false;
}

这段代码看起来不长，但是里面包含了不少玄机。咱们一步步来分析：

1. wp_check_filetype( $file )：第一道防线

   首先，函数会调用 wp_check_filetype() 函数来尝试获取 MIME 类型。这个函数会根据文件的扩展名来判断文件类型。

   $mime = wp_check_filetype( $file );
   
   if ( $mime['ext'] && $mime['type'] ) {
       return $mime['type'];
   }

   如果 wp_check_filetype() 成功识别了文件的扩展名和 MIME 类型，那么函数就直接返回这个 MIME 类型，任务完成！

   wp_check_filetype() 的源码片段如下 (简化版):

   function wp_check_filetype( $filename, $mimes = null ) {
       if ( empty( $mimes ) ) {
           $mimes = get_allowed_mime_types();
       }
   
       $type = false;
       $ext  = false;
   
       foreach ( $mimes as $mime_regex => $mime_match ) {
           $mime_regex = '#.' . $mime_regex . '$#i';
           if ( preg_match( $mime_regex, $filename, $matches ) ) {
               $type = $mime_match;
               $ext  = ltrim( $matches[0], '.' ); // 获取扩展名
               break;
           }
       }
   
       return compact( 'ext', 'type' );
   }
   
   function get_allowed_mime_types( $user = null ) {
       $mimes = array(
           'jpg|jpeg|jpe' => 'image/jpeg',
           'gif'          => 'image/gif',
           'png'          => 'image/png',
           'bmp'          => 'image/bmp',
           'tiff|tif'   => 'image/tiff',
           'ico'          => 'image/x-icon',
           'asf|asx|wax|wmv|wmx' => 'video/asf',
           // ... 更多 MIME 类型
       );
   
       /**
        * Filters the list of allowed mime types.
        *
        * @since 2.0.0
        *
        * @param string[] $mimes Array of mime types keyed by the file extension regex corresponding to
        *                        those types. 'swf|exe|com|dll' => 'application/octet-stream'
        */
       return apply_filters( 'upload_mimes', $mimes, $user );
   }

   简单来说，wp_check_filetype() 会根据 $filename 查找预定义的 $mimes 数组（通过 get_allowed_mime_types() 获取），如果找到了匹配的扩展名，就返回对应的 MIME 类型。 这个数组的内容可以通过 upload_mimes 过滤器修改，允许开发者自定义允许上传的文件类型。

   举个例子：

   假设 $file 是 "my_picture.jpg"，那么 wp_check_filetype() 就会检查 $mimes 数组中是否有与 .jpg 匹配的键，如果有，就返回 "image/jpeg" 作为 MIME 类型。

2. apply_filters( 'wp_get_image_mime', false, $file )：插件的介入

   如果 wp_check_filetype() 没有找到 MIME 类型，那么函数会调用 apply_filters() 函数，允许插件通过 wp_get_image_mime 过滤器来介入 MIME 类型的判断。

   /**
    * Filters the image mime type based on the file path.
    *
    * @since 2.5.0
    *
    * @param string|false $mime The image mime type. Default false.
    * @param string       $file Path to the image file.
    */
   $mime = apply_filters( 'wp_get_image_mime', false, $file );
   
   if ( $mime ) {
       return $mime;
   }

   这意味着，插件可以根据自己的逻辑来判断图片的 MIME 类型，并覆盖 WordPress 默认的判断方式。这为开发者提供了极大的灵活性。

   插件示例：

   假设某个插件想要根据文件内容的前几个字节来判断图片的 MIME 类型，它可以这样实现：

   add_filter( 'wp_get_image_mime', 'my_plugin_get_image_mime', 10, 2 );
   
   function my_plugin_get_image_mime( $mime, $file ) {
       // 读取文件的前几个字节
       $handle = fopen( $file, 'rb' );
       $header = fread( $handle, 4 );
       fclose( $handle );
   
       // 根据文件头判断 MIME 类型
       if ( $header === "xFFxD8xFFxE0" ) { // JPEG 文件头
           return 'image/jpeg';
       } elseif ( $header === "x89PNG" ) { // PNG 文件头
           return 'image/png';
       }
   
       return $mime; // 如果无法判断，返回原来的 MIME 类型 (false)
   }

   这个插件会读取文件的前 4 个字节，如果发现是 JPEG 或者 PNG 的文件头，就返回对应的 MIME 类型。

3. @getimagesize( $file )：终极武器

   如果插件也没有提供 MIME 类型，那么函数会调用 @getimagesize( $file ) 函数来获取图片的尺寸和 MIME 类型。

   $image_size = @getimagesize( $file );
   if ( ! empty( $image_size['mime'] ) ) {
       return $image_size['mime'];
   }

   getimagesize() 是 PHP 内置的函数，它可以读取图片的头部信息，并从中提取出图片的尺寸、类型等等信息。@ 符号在这里的作用是抑制错误信息，因为 getimagesize() 在处理某些文件时可能会出错。

   getimagesize() 的工作原理：

   getimagesize() 函数会读取图片的头部信息，并根据头部信息中的 Magic Number 来判断图片的类型。Magic Number 是指文件开头几个字节的固定值，不同的文件类型有不同的 Magic Number。

   常见图片类型的 Magic Number：

   文件类型	Magic Number
   JPEG	FF D8 FF
   PNG	89 50 4E 47 0D 0A 1A 0A
   GIF	47 49 46 38 37 61 或 47 49 46 38 39 61
   BMP	42 4D

   getimagesize() 函数会根据这些 Magic Number 来判断图片的类型，并返回对应的 MIME 类型。

4. return false：最后的希望破灭

   如果以上所有的方法都失败了，那么函数最终会返回 false，表示无法获取图片的 MIME 类型。

   return false;

总结：wp_get_image_mime() 的工作流程

总的来说，wp_get_image_mime() 函数的工作流程可以概括为以下几点：

1. 尝试使用 wp_check_filetype() 根据文件扩展名获取 MIME 类型。
2. 允许插件通过 wp_get_image_mime 过滤器介入 MIME 类型的判断。
3. 如果以上方法都失败，则使用 @getimagesize() 函数读取图片头部信息来获取 MIME 类型。
4. 如果所有方法都失败，则返回 false。

代码示例：如何使用 wp_get_image_mime()

$file = '/path/to/your/image.jpg';

$mime_type = wp_get_image_mime( $file );

if ( $mime_type ) {
    echo 'MIME 类型：' . $mime_type;
} else {
    echo '无法获取 MIME 类型';
}

注意事项：

• wp_get_image_mime() 函数依赖于文件系统，所以在使用前要确保文件存在并且可读。
• @getimagesize() 函数可能会因为文件损坏或者格式不支持而失败，所以在使用时要做好错误处理。
• 为了提高安全性，建议只允许上传预定义的图片类型，并对上传的文件进行严格的校验。

安全考量：文件扩展名欺骗

虽然 wp_get_image_mime() 尝试使用多种方式来获取 MIME 类型，但是仍然存在被文件扩展名欺骗的风险。

什么是文件扩展名欺骗？

文件扩展名欺骗是指攻击者将恶意文件伪装成图片文件，例如将一个 PHP 脚本命名为 evil.jpg。如果服务器仅仅根据文件扩展名来判断文件类型，那么攻击者就可以绕过安全检查，上传恶意文件。

如何防范文件扩展名欺骗？

1. 不要仅仅依赖文件扩展名来判断文件类型。 应该使用多种方式来验证文件类型，例如检查文件头部的 Magic Number。
2. 对上传的文件进行严格的校验。 确保文件符合预期的格式和大小。
3. 不要将上传的文件存储在可执行目录下。 建议将上传的文件存储在专门的文件存储目录中，并禁止该目录执行 PHP 脚本。
4. 使用安全的上传组件。 一些上传组件提供了更强大的安全功能，例如文件类型验证、病毒扫描等等。

总结：wp_get_image_mime() 的局限性与替代方案

wp_get_image_mime() 函数虽然能够满足大部分的需求，但是也存在一些局限性。

• 它主要针对图片文件，对于其他类型的文件可能无法准确地获取 MIME 类型。
• 它依赖于 getimagesize() 函数，而 getimagesize() 函数在处理某些文件时可能会出错。

如果需要更可靠的 MIME 类型判断，可以考虑使用以下替代方案：

1. mime_content_type() 函数： PHP 内置的函数，可以根据文件内容来判断 MIME 类型。但是需要启用 fileinfo 扩展。
2. finfo_open() 函数： fileinfo 扩展提供的函数，可以更准确地判断 MIME 类型。
3. 第三方库： 有一些第三方库提供了更强大的 MIME 类型判断功能，例如 SymfonyComponentMimeMimeTypeGuesser。

表格总结

函数/方法	优点	缺点	适用场景
wp_get_image_mime()	WordPress 内置，使用方便，结合扩展名、插件和 getimagesize() 多种方式	依赖 getimagesize()，可能不准确，存在文件扩展名欺骗风险	WordPress 图片处理，快速获取图片 MIME 类型
wp_check_filetype()	快速，基于预定义的 MIME 类型列表	仅根据扩展名判断，容易被欺骗	快速初步判断，配合其他方法使用
getimagesize()	PHP 内置，可以读取图片头部信息	可能因文件损坏或格式不支持而失败	尝试获取图片 MIME 类型，作为备选方案
mime_content_type()	基于文件内容判断，相对准确	需要启用 fileinfo 扩展，性能可能略低	需要更准确判断 MIME 类型，但需确保 fileinfo 扩展已启用
finfo_open()	fileinfo 扩展提供，更准确	需要启用 fileinfo 扩展，使用略复杂	对 MIME 类型准确性要求高，且能确保 fileinfo 扩展已启用
第三方库 (例如 SymfonyMimeMimeTypeGuesser)	功能强大，准确性高，支持更多文件类型	需要引入额外的依赖，可能会增加项目体积	需要处理多种文件类型，对 MIME 类型准确性要求非常高，且不介意引入额外依赖

结束语

好了，今天的讲座就到这里。希望通过今天的讲解，大家对 wp_get_image_mime() 函数有了更深入的了解。记住，安全无小事，在处理文件上传时一定要多加小心，防范各种安全风险。感谢各位的收看，咱们下期再见！