Zabezpieczenie przed uploadem obrazka z wirusem, exif tags obrazka z kodem php Opcje

[daren88]

Witam

Istnieje możliwość zapisania w exif tags obrazka kodu php co może być niebezpieczne.
Napisałem bardzo prosty skrypt do sprawdzania kodu php w obrazkach i mam prośbę o sprawdzenie czy ten kod wystarczy, sprawdzałem kod i rzeczywiście odróżnia
obrazek z niebezpiecznym kodem od zwykłego obrazka ale może ktoś z was ma inne zdanie i wie jak oszukać ten skrypt (IMG:style_emoticons/default/questionmark.gif) ? (IMG:style_emoticons/default/guitar.gif)

[PHP] pobierz, plaintext 
$get = file_get_contents( $_FILES['img']['tmp_name'] );
 
 
 
    $pattern = '/<?php./';
 
if(    preg_match($pattern,$get, $matches, PREG_OFFSET_CAPTURE)     ){
 
        echo' obrazek z kodem php ';
 
}
else{
 
        echo' nie ma kodu php';
 
}
[PHP] pobierz, plaintext 

Pomijam resztę zabezpieczeń post jest tylko o exif tags. Bardzo fajny artykuł na ten temat jest tutaj http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/ ale nie ma tam info jak wykryć niebezpieczny kod.

[erix]

Niebezpieczny nie jest sam kod doklejony do obrazka - niebezpieczne jest używanie include / require do wypluwania tych obrazków!

Hah, nie trzeba require/include:

[APACHE] pobierz, plaintext 
AddType application/x-httpd-php .jpg
[APACHE] pobierz, plaintext 

i hulaj dusza.

[eccocce]

[APACHE] pobierz, plaintext 
AddType application/x-httpd-php .jpg
[APACHE] pobierz, plaintext 

i hulaj dusza.

Dobre (IMG:style_emoticons/default/smile.gif)
Taka regułka musiałaby zostać dopisana do konfiguracji Apache (np. do .htaccess), więc jeśli ktoś może już tyle zrobić, to po co ma się bawić w jakieś głupie obrazki z kodem PHP (IMG:style_emoticons/default/tongue.gif)

To może jakoś mądrze podsumujemy temat - warto tworzyć funkcje filtrujące/walidujące uploadowane obrazki, czy po prostu zadbać, aby w kodzie nie było wczytywania obrazków metodami include/require (zakładamy, że konfiguracja Apache jest wolna od takich kwiatków jak podał erix)?