 Bezpieczne wysyłanie obrazów na serwer, Szczególnie awatarów i zdjęć |
| Bezpieczne wysyłanie obrazów na serwer, Szczególnie awatarów i zdjęć |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 375 Pomógł: 20 Dołączył: 28.07.2006 Ostrzeżenie: (0%) 
 |
Jak bezpiecznie załadować plik graficzny na serwer, aby rzeczywiście był plikiem PNG, JPG lub GIF i nie zawierał szkodliwego kodu?
getimagesize() Wymagania: GD Nie chroni przed: wrzuceniem kodu PHP do obrazu (wciąż wykrywa typ: image/*) mime_content_type() Czy funkcja zawsze poprawnie wykrywa typ MIME pliku (NIE na podstawie rozszerzenia)? Czy jest wystarczającym zabezpieczeniem? W podręczniku PHP jest napisane, że funkcja ma status "deprecated" i odsyłają do rozszerzenia Fileinfo z PECL - wątpię, żeby było dostępne na większości serwerów, szczególnie darmowych, gdyż trzeba je doinstalować. $_FILES['type'] Tak, to naiwna metoda, gdyż typ jest wysyłany przez przeglądarkę. Pole MAX_FILE_SIZE Do czego właściwie przydaje się to pole? Zabezpieczenie nie chroni przed userami, którzy zwiększą wartość tego pola. Wniosek? Których zabezpieczeń wystarczy użyć, aby mieć pewność, że na serwer zostanie wysłany rzeczywiście plik PNG, JPG lub GIF? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 155 Pomógł: 9 Dołączył: 26.01.2004 Skąd: Poznań Ostrzeżenie: (0%)
|
boże dzieci się flejmują o bezpieczeństwie. Prawda jest jedna. Zabezpieczyć się można tylko przed ludźmi którzy chcą ale nie potrafią się włamać. A ci co chcą i potrafią plus mają dość determinacji napewno obejdą. A co do samego tematu to exploit na GD to dla mnie coś nowego. Pierwszy resize powie że pomimo dobrego headera pliku wewnątrz jest kaszana.
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)
|
Cytat(MMX3 @ 6.11.2008, 11:31:55 )  boże dzieci się flejmują o bezpieczeństwie. Prawda jest jedna. Zabezpieczyć się można tylko przed ludźmi którzy chcą ale nie potrafią się włamać. A ci co chcą i potrafią plus mają dość determinacji napewno obejdą. A co do samego tematu to exploit na GD to dla mnie coś nowego. Pierwszy resize powie że pomimo dobrego headera pliku wewnątrz jest kaszana. Tak oczywiście, to wogóle nic nie zabezpieczajmy i dajmy kazdemu wejsc do systemu, gratuluje "intieligęcji" MMX3 |
|
|
|
WebCM Bezpieczne wysyłanie obrazów na serwer 4.11.2008, 20:25:48 
bregovic Hmm, że tak się zapytam z poza pude... 4.11.2008, 20:34:57 danek Mój pomysł (z podkreśleniem pomysł):
1.Odpalić skr... 4.11.2008, 20:56:12 pyro sprawdzac rozszerzenie i mime pliku PRZY CZYM trze... 4.11.2008, 20:59:50 Pilsener Sposób stary jak świat: wczytać kilka pierwszych i... 5.11.2008, 13:35:17 
pyro Cytat(Pilsener @ 5.11.2008, 13:35:17 ... 5.11.2008, 14:07:15 bim2 @pyro
Jak już tak mówisz, to może wyjaśnić jak zro... 5.11.2008, 16:00:37 pyro bim2, juz napisalem, patrz wyzej.
Napewno to nie ... 5.11.2008, 23:14:17 WebCM MMX: A jeśli nie chcę zmniejszać obrazu?
Na razie... 6.11.2008, 13:39:05 Riklaunim Cytat(WebCM @ 6.11.2008, 15:39:05 ) M... 6.11.2008, 14:23:18 WebCM Teoretycznie nazwa pliku nie może zawiera... 6.11.2008, 14:32:52 Riklaunim Cytat(WebCM @ 6.11.2008, 16:32:52 ) T... 6.11.2008, 15:41:50 l0ud Prawda jest taka, że wystarczy kontrola nagłówka o... 6.11.2008, 21:46:41 pyro Cytat(l0ud @ 6.11.2008, 21:46:41 ) Pr... 6.11.2008, 22:04:24 l0ud No dokładnie, nazwa powinna być unikalna Najlepie... 6.11.2008, 22:06:31  |
|
Aktualny czas: 14.10.2025 - 14:28 |
