Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczne wysyłanie obrazów na serwer, Szczególnie awatarów i zdjęć
WebCM
post
Post #1





Grupa: Zarejestrowani
Postów: 375
Pomógł: 20
Dołączył: 28.07.2006

Ostrzeżenie: (0%)
-----

Jak bezpiecznie załadować plik graficzny na serwer, aby rzeczywiście był plikiem PNG, JPG lub GIF i nie zawierał szkodliwego kodu?

getimagesize()
Wymagania: GD
Nie chroni przed: wrzuceniem kodu PHP do obrazu (wciąż wykrywa typ: image/*)

mime_content_type()
Czy funkcja zawsze poprawnie wykrywa typ MIME pliku (NIE na podstawie rozszerzenia)? Czy jest wystarczającym zabezpieczeniem? W podręczniku PHP jest napisane, że funkcja ma status "deprecated" i odsyłają do rozszerzenia Fileinfo z PECL - wątpię, żeby było dostępne na większości serwerów, szczególnie darmowych, gdyż trzeba je doinstalować.

$_FILES['type']
Tak, to naiwna metoda, gdyż typ jest wysyłany przez przeglądarkę.

Pole MAX_FILE_SIZE
Do czego właściwie przydaje się to pole? Zabezpieczenie nie chroni przed userami, którzy zwiększą wartość tego pola.

Wniosek?
Których zabezpieczeń wystarczy użyć, aby mieć pewność, że na serwer zostanie wysłany rzeczywiście plik PNG, JPG lub GIF?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Pilsener
post
Post #2





Grupa: Zarejestrowani
Postów: 1 590
Pomógł: 185
Dołączył: 19.04.2006
Skąd: Gdańsk

Ostrzeżenie: (0%)
-----

Sposób stary jak świat: wczytać kilka pierwszych i ostatnich bajtów z pliku by zobaczyć, co zawiera. Użyć biblioteki GD i wykonać jakąś operację na obrazku - jeśli będzie poprawna, to obrazek jest ok.
Go to the top of the page
+Quote Post

Posty w temacie
- WebCM   Bezpieczne wysyłanie obrazów na serwer   4.11.2008, 20:25:48
- - bregovic   Hmm, że tak się zapytam z poza pude...   4.11.2008, 20:34:57
- - danek   Mój pomysł (z podkreśleniem pomysł): 1.Odpalić skr...   4.11.2008, 20:56:12
- - pyro   sprawdzac rozszerzenie i mime pliku PRZY CZYM trze...   4.11.2008, 20:59:50
- - Pilsener   Sposób stary jak świat: wczytać kilka pierwszych i...   5.11.2008, 13:35:17
|- - pyro   Cytat(Pilsener @ 5.11.2008, 13:35:17 ...   5.11.2008, 14:07:15
- - bim2   @pyro Jak już tak mówisz, to może wyjaśnić jak zro...   5.11.2008, 16:00:37
- - pyro   bim2, juz napisalem, patrz wyzej. Napewno to nie ...   5.11.2008, 23:14:17
- - MMX3   boże dzieci się flejmują o bezpieczeństwie. Prawda...   6.11.2008, 11:31:55
|- - pyro   Cytat(MMX3 @ 6.11.2008, 11:31:55 ) bo...   6.11.2008, 15:05:33
- - WebCM   MMX: A jeśli nie chcę zmniejszać obrazu? Na razie...   6.11.2008, 13:39:05
|- - Riklaunim   Cytat(WebCM @ 6.11.2008, 15:39:05 ) M...   6.11.2008, 14:23:18
- - WebCM   Teoretycznie nazwa pliku nie może zawiera...   6.11.2008, 14:32:52
|- - Riklaunim   Cytat(WebCM @ 6.11.2008, 16:32:52 ) T...   6.11.2008, 15:41:50
- - l0ud   Prawda jest taka, że wystarczy kontrola nagłówka o...   6.11.2008, 21:46:41
|- - pyro   Cytat(l0ud @ 6.11.2008, 21:46:41 ) Pr...   6.11.2008, 22:04:24
- - l0ud   No dokładnie, nazwa powinna być unikalna Najlepie...   6.11.2008, 22:06:31

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 4.10.2025 - 18:42
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn