Zabezpieczenie przed uploadem obrazka z wirusem, exif tags obrazka z kodem php Opcje

[daren88]

Witam

Istnieje możliwość zapisania w exif tags obrazka kodu php co może być niebezpieczne.
Napisałem bardzo prosty skrypt do sprawdzania kodu php w obrazkach i mam prośbę o sprawdzenie czy ten kod wystarczy, sprawdzałem kod i rzeczywiście odróżnia
obrazek z niebezpiecznym kodem od zwykłego obrazka ale może ktoś z was ma inne zdanie i wie jak oszukać ten skrypt (IMG:style_emoticons/default/questionmark.gif) ? (IMG:style_emoticons/default/guitar.gif)

[PHP] pobierz, plaintext 
$get = file_get_contents( $_FILES['img']['tmp_name'] );
 
 
 
    $pattern = '/<?php./';
 
if(    preg_match($pattern,$get, $matches, PREG_OFFSET_CAPTURE)     ){
 
        echo' obrazek z kodem php ';
 
}
else{
 
        echo' nie ma kodu php';
 
}
[PHP] pobierz, plaintext 

Pomijam resztę zabezpieczeń post jest tylko o exif tags. Bardzo fajny artykuł na ten temat jest tutaj http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/ ale nie ma tam info jak wykryć niebezpieczny kod.

[Crozin]

Trzeba się zabezpieczać, a nie z góry planować minimalizowanie (często jedynie pozorne) strat.

1. Kod PHP czy JS w obrazie? Jak najbardziej może się znajdować i wcale nie oznacza to żadnego ataku. Ot może to być chociażby fragment opisu obrazu przedstawiającego zrzut ekranu.
2. Podatność na File Inclusion to naprawdę domena słabych skryptów, co więcej jeżeli już taka luka istnieje bardzo, bardzo często umożliwia ona wczytanie dowolnego, zdalnego zasobu, więc całe to filtrowanie szlag trafia.

Lepiej sprawdzić czy gdzieś nie ma możliwości wykonania takiego ataku, szczególnie, że wiadomo czego szukać, niż kombinować z mechanizmami praktycznie bezużytecznymi mogącymi w dodatku odrzucać część w pełni poprawnych plików.