Zabezpieczenie imagick Opcje

[viking]

Przerzucam się właśnie z GD na imagick i ciekawi mnie zabezpieczenie obrazków. Czy np. po wczytaniu zdjęcia z niewiadomego źródła i przepuszczeniu przez thumbnailImage() jest szansa że coś niepożądanego się przedostanie? Wydaje się rzucać wyjątkiem ale nigdy nie wiadomo.

[.radex]

czego niepożądanego np?

[viking]

Kodu php.

[.radex]

W sensie, że co?

Że obrazek zawierałby jakiś spreparowany kod PHP, który miałby się odpalić na serwerze?

Nieee, to niemożliwe, no chyba, że będziesz się bawił eval()em

[l0ud]

Praktycznie nie. Teoretycznie może być jakaś dziura w imagicku co na to pozwoli, w praktyce nie ma się co przejmować (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[viking]

Samo wstawienie php do obrazka to żaden problem więc nie ma w tym nic dziwnego. Jeszcze mały test zrobiłem. Jeżeli skalujemy obrazek np. do 100x100 a ten ma 99.x99 imagemagic w ogóle go nie rusza czyli kod pozostaje.
Jeszcze pytanie dodatkowe. Czy jest możliwość wykonania kodu php jeżeli zapisaliśmy zdjęcie do folderu publicznego ale ma rozszerzenie prawidłowe dla zdjęcia np .jpg?

[l0ud]

Czy jest możliwość wykonania kodu php jeżeli zapisaliśmy zdjęcie do folderu publicznego ale ma rozszerzenie prawidłowe dla zdjęcia np .jpg?

Nie... No chyba że masz dziurę w skrypcie obok, która pozwala includować dowolny, lokalny plik.

[viking]

Ok. A jesteś na 1000% pewien? Tak pytam bo we wszystkich kursach / artykułach jakie znalazłem wspominali o wyłączeniu możliwości wykonywania skryptów w katalogu gdzie są już przetworzone zdjęcia. Więc mogłoby wskazywać na jakiś problem, potencjalną możliwość.

[l0ud]

Domyślna konfiguracja właściwie każdego serwera wyklucza możliwość wykonywania plików z rozszerzeniem .jpg (i pobocznych) przez parser php. Gdyby było inaczej już leżałby by chyba wszystkie fora które umożliwiają wgrywanie avatarów etc...