[PHP]Skrypt uploadu - blokowanie uploadowania innych plikow niz obrazki Opcje

[o2w5n778]

Witam!
Czy ktoś może wie co zrobic aby w tym skrypcie dało się uploadować tylko obrazki?

Kod:

[PHP] pobierz, plaintext 
<?
$site ="http://adres.pl/"; // adres strony na kocu pamitaj o /
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Dokument bez tytuu</title>
</head>
 
<body>
 
<?php
if ($_POST['dodaj']) {
 
$plik_nazwa = trim($_POST['plik_nazwa']);
$plik_tmp = $_FILES['foto']['tmp_name'];
$plik_nazwa = $_FILES['foto']['name'];
$ext = pathinfo($plik_nazwa, PATHINFO_EXTENSION);
$kodowanie = md5($_POST['plik_nazwa']);
$lacz = $kodowanie.$ext;
 
if(is_uploaded_file($plik_tmp)) {
     move_uploaded_file($plik_tmp, "../uploads/galeria/$lacz");
  echo "Plik: <strong>$plik_nazwa</strong> zosta przesany na serwer!<br>";
  print 'link dla forum: <input type="text" value="'.$site.''.$plik_nazwa.'" size="40" /><br>';
  print 'link dla przegldarki: <input type="text" value="'.$site.''.$plik_nazwa.'" size="40" /><br>';
    print 'kod dla html: <input type="text" value="<img src=&quot;'.$site.''.$plik_nazwa.'&quot; alt=&quot;aduje&quot; />" size="40" /><br>';
  /* Komenda Sprawdzajca Dziaanie Uploadu Zdjcia */
}
 
}
?>
 
<div id="okno">
<form enctype="multipart/form-data" action="index.php" method="POST" name="newad">
<div class="oknoDane">
<p class="oknoDanePotrzebne">Podaj Potrzebne Dane:</p>
<table><tr>
<td><table><tr>
<td>fotografia:</td><td><input type="file" name="foto" class="nazwy" /></td></tr></table></td>
</tr></table>
</div>
<div class="pagesPrzyciski">
<input type="submit" name="dodaj" class="pages" value="Dodaj" />
<input type="reset" class="pages" value="Resetuj" />
<input type="button" class="pages" onclick="java script:history.back();" name="wstecz" value="Wstecz" />
</div>
</form>
</div>
</body>
</html>
[PHP] pobierz, plaintext 

Ten post edytował o2w5n778 3.08.2010, 22:06:06

[Pilsener]

Zapomnij o takim uploadzie, bo jakiś dzieciak albo bot w 5 minut Ci się włamie. Zasada jest prosta i jedyna: wrzucać pliki do bezpiecznego folderu (takiego, gdzie wpisanie folder/plik.jakis nic nie da pomimo poprawnej ścieżki).

A jak sprawić, by były tylko fotki?
1. Zapisujesz plik w bezpiecznym folderze
2. Sprawdzasz jego typ MIME, metod jest wiele, choćby imagickiem:

[PHP] pobierz, plaintext 
$picture = new Imagick('safe_folder/1234');
$extension = $picture->getimageformat();
[PHP] pobierz, plaintext 

albo przy pomocy "gołego" php:
http://pl.php.net/manual/pl/function.finfo-file.php
Albo przy pomocy biblioteki GD
3. Jeśli typ jest zgodny, to zapisujesz do bazy informację o nim, jeśli nie - plik kasujesz i siema
4. Przy downloadzie pobierasz plik z bezpiecznego folderu i wysyłasz jako obrazek (gif, jpg, png - info o tym pobierasz z bazy), nawet jeśli będzie to jakiś złośliwy kod wysyłając go w taki sposób:

[PHP] pobierz, plaintext 
        $img = file_get_contents($path);
        header('Content-Type: image/jpeg');
        echo $img;
[PHP] pobierz, plaintext 

- dzieciak może nam skoczyć