Upload файлов, безопасность

Сейчас делаю загрузку файлов и хотел бы у вас спросить по поводу безопасности.
А именно, хочется узнать как лучше проверять файлы - по расширению, или по MIME Types?
Ну а так же буду признателен за любого рода советы по безопасному аплоаду файлов ;)

Проверяй по всему что только можно и по максимуму. Миме типы+ массив разрешенных расширений файлов.

Тут 2 варианта, пускать только определенные форматы файлов или же пускать абсолютно все, сохраняя их в виде 423535.up или к примеру в мд5, а реальное имя хранить в базе, ну и все это скриптом выдавать, я выбираю второй вариант т.к нет не каких ограничений+зашита от прямых ссылок ну и по скорости скачивания можно ограничивать
Тут уже смотря для чего тебе..

Кстати мим тип проверять нет смысла, при загрузке его можно подменить, это если мим брать с $_FILES, ну а функция mime_content_type определяет по расширению файла, так что смысла нет, пускай только определенные форматы или же скриптом файл выдавай

В общем я делаю загрузку файлов в движке для админов. Тут скачивание ограничивать ненадо. Мне важно, чтобы если вдруг ктото получит доступ в админку, не моги залить в загруз-центр или еще куда либо вредоносный файл. Вот.

Пока из предложенных вариантов подходит только отсеивать расширения. Хотелось бы еще совета - а какие расширения, нужно отсеивать? Знаю точно что нужно запретить php, phtml, phtm, pl, cgi, js, py

Можно в папке с файлами поотключать php и всё остальное и принимать тогда можно будет любые файлы

7. Flyd, тоже вариант. А если хост не держит .htaccess то уже не прокатит. А мне и это нужно учесть ;) Двиг то все таки больше новичкам. А они все на бесплатный хост ставят

Отсеивать расширения типа php , phtml старо и тупо. Лучше определи формат тех файлов которые можно заливать напр jpg, png, gif, a остальное рубить. Хотя лучше выдавать аттач файлы скриптом как писал Лугаро,так как там уже уверен на все 99.9%

Ну если честно быстрее перечислить те файлы, которые ненужны, чем те которые нужны.

лучше выдавать аттач файлы скриптом

А вдруг злоумышленник сможет загрузить файл не в нужное мне место и будет иметь доступ к нему напрямую ну или там еще как нибудь. Эхх. Жаль что нет функции которая бы определяла мим тип по его содержимому а не по расширению.