Bezpieczne wgrywanie obrazków na serwer Opcje

[Avatarus]

Witam
Musze udostępnić ludziom ze strony wgrywanie obrazków do galerii, ale jest problem.
Ostatnie nasze fora (oparte o SMF) były narażone na atak człowieka który umieszczał spraparowane pliki które zawierały w sobie kod php.
Zwykła metoda wykrywanie typu pliku nic nie daje bo tamten plik miał w nagłówku "image/jpeg" a defakto był częściowo obrazkiem, częściowo plikiem php.

Jak można zabezpieczyć się przed włamem i jednocześnie zezwolić na wysyłanie plików na serwer?

Z góry dzięki,
pozdrawiam

[pgrzelka]

no ale skoro rozszerzenie pliku to jpg/png/gif to kod php nie może się wykonać w takim pliku więc jest nie groźny, chyba że umożliwiliście wgrywanie plików z innymi rozszerzeniami

[Avatarus]

jestem tego świadom, ale ten koleś jakoś obszedł juz leciwego SMFa i zainfekował tysiące for na całym świecie.
nie chce żeby to samo powtórzyło sie u mnie.

Oto plik jakiego użył.
http://www.speedyshare.com/471414693.html

[erix]

Już o tym pisałem: Temat: SMF_118_jeszcze_nie_zalatana_dziura

Wersja 1.1.9 została załatana.

Jak można zabezpieczyć się przed włamem i jednocześnie zezwolić na wysyłanie plików na serwer?

Przeszukać plik pod kątem tagów otwierających blok skryptowy i wywalać metadane plików. To ostatnie powinno wystarczyć.

[Avatarus]

a możesz dorzucić do tego mały przykład?
Kiedy zasadniczo taki plik infekuje serwer?
Podczas wgrania czy podczas wyświetlenia?

[erix]

a możesz dorzucić do tego mały przykład?

Wszystko jest w tamtym wątku. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Kiedy zasadniczo taki plik infekuje serwer?
Podczas wgrania czy podczas wyświetlenia?

Hmm, nie zagłębiałem się w to za bardzo, ale może być i w jedną stronę, i w drugą, choć podejrzewam, że chodzi o wyświetlanie.