PHP 上传文件后自动解压缩：代码示例与安全隐患

<?php
error_reporting(0);
highlight_file(__FILE__);

$finfo = finfo_open(FILEINFO_MIME_TYPE);
if (finfo_file($finfo, $_FILES['file']['tmp_name']) === 'application/zip') {
    exec('cd /tmp && unzip -o ' . $_FILES['file']['tmp_name']);
};

//only this!

解释：

这段代码首先关闭了错误报告，然后使用 highlight_file 函数将当前文件的代码高亮显示。接着，它使用 finfo_open 函数打开一个文件信息资源，用于获取文件的 MIME 类型。如果上传的文件的 MIME 类型是 'application/zip'，则使用 exec 函数在 /tmp 目录下解压文件。

这段代码的作用是实现上传文件后自动解压功能，但是这段代码存在安全隐患，因为它没有对上传文件的类型进行严格的检查和过滤，可能会导致文件上传漏洞。

安全隐患分析：

缺乏类型校验: 代码仅通过 MIME 类型判断文件是否为 ZIP 压缩文件，而 MIME 类型可以伪造，攻击者可以将恶意代码伪装成 ZIP 文件上传，从而绕过校验。
文件路径硬编码: 代码将解压文件的位置硬编码为 /tmp 目录，攻击者可以利用此路径进行目录遍历或文件覆盖攻击。
使用 exec 函数: exec 函数存在安全风险，攻击者可以利用命令注入漏洞执行任意命令。

安全建议:

严格校验文件类型: 使用更可靠的校验方法，例如文件扩展名校验或文件内容校验。
随机生成文件路径: 不要使用硬编码的路径，而是使用随机生成的路径来存放解压后的文件。
使用安全的解压库: 使用安全的解压库，例如 ZipArchive，避免使用 exec 函数。
限制解压文件的大小和数量: 限制解压文件的数量和大小，防止资源占用过大。

总结：

在实现上传文件后自动解压缩功能时，必须考虑安全问题，避免出现文件上传漏洞。建议使用安全的代码编写规范，严格校验文件类型，并使用安全的解压库和文件操作方法。