[php] Sprawdzanie czy obrazek jest obrazkiem czy "niespodzianka" Opcje

[kiler129]

Mam dosc spory problem ze skryptem.
User uploaduje obrazek, skrypt sprawdza czy obrazek ma:

- Dozwolone rozszezenie
- Dozwolony mime
- Nie przekracza 2MB
- Czy funckaj getimagesize() zwroci prawidlowy wynik

Wszytko jest ok ale dodajac do pliku php na poczatku pierwsze kilka KB z obrazka i nadajc rozszeznie .jpg mozna upnac kod php co mi sie bardzo nie podoba
Jak przed tym zabezpiecza sie imageshack ktory nie daje sie nabrac ?

[Landon]

Sposobem będzie na pewno GD lecz dobre tylko gdy będzie mało razy wykonywane (przepisanie piksel po pixelu)

[kiler129]

Sposobem będzie na pewno GD lecz dobre tylko gdy będzie mało razy wykonywane (przepisanie piksel po pixelu)

Przy kilku obrazkach to i owszem ale nie przy setkach

edit:

Czesciowo chyba obszedlem problem.
Teraz da sie wgrac taki obrazek ale kod sie nie wykonuje. Dalem w .htaccess:

Kod

AddType text/plain .php .php3 .php4 .php5 .inc .phtml .cgi .pl
RemoveHandler .php

Chcialem wylaczyc php engine w katalogu obrazkow ale niestety wywala mi HTTP500 ;/

Ten post edytował kiler129 11.05.2008, 23:07:21

[Pilsener]

Sposób stary jak świat: wczytaj kilka początkowych i ostatnich bajtów pliku i zobacz, co zawiera. Są też pewnie gotowe rozwiązania (w ramach PEAR, GD etc.)

[mike]

W zupełności wystarczy getimagesize()

[kiler129]

Sposób stary jak świat: wczytaj kilka początkowych i ostatnich bajtów pliku i zobacz, co zawiera. Są też pewnie gotowe rozwiązania (w ramach PEAR, GD etc.)

Poczatkowe mozna dac podmienione a koncowe jak niby walidowac?

W zupełności wystarczy getimagesize()

Ja bla bla bla a ty swoje
Getumagesize wywala mi jakis kosmiczny rozmiar w stylu 535623742345x6745555553235 ale zwraca true i wszytko diabli biora

[Shili]

To sprawdzaj nie true albo false, tylko czy rozmiar jest kosmiczny albo nie. Wiadomo, że zwykły user nie wepchnie obrazka o rozdzielczości większej niż jakaś tam, skoro te z dodatkowym kodem mają dziki rozmiar wystarczy zrobić jeden warunek i voila.

[Cezar708]

aby obronić się przed wsztrzykniętym kodem PHP (i nie tylko) po prostu pobierz obrazek i poprzez GD przekonwertuj go na jakiś format graficzny (nawet taki sam jakim sam jest) to spowoduje usunięcie wszelkich dodatkowych kodów, które nie są danymi obrazka.

Pozdrawiam

[kiler129]

aby obronić się przed wsztrzykniętym kodem PHP (i nie tylko) po prostu pobierz obrazek i poprzez GD przekonwertuj go na jakiś format graficzny (nawet taki sam jakim sam jest) to spowoduje usunięcie wszelkich dodatkowych kodów, które nie są danymi obrazka.

Pozdrawiam

To jest genialne! Dziekuje

[Babcia@Stefa]

Możesz też sprawdzać klasą:
http://manual.babciastefa.boo.pl/download/...ment.class.phps - Sama klasa
http://manual.babciastefa.boo.pl/download/db.eme - Baza danych klasy
http://manual.babciastefa.boo.pl/download/E.M.E.test.phps - Przykład

Dziękuję, Babcia@Stefa

[mrok]

a czy nie wystarczy ustawic praw do takiego pliku na 640

[webdice]

a czy nie wystarczy ustawic praw do takiego pliku na 640

Logicznie rzecz biorąc, jeśli kod zawarty w obrazu będzie "blokowany" przez chmod, to obrazek również.

[mrok]

Logicznie rzecz biorąc, jeśli kod zawarty w obrazu będzie "blokowany" przez chmod, to obrazek również.

ale ja blokuję tylko "do wykonania" natomiast czytac może każdy..
i pytanie z mojej strony jest jak najbardziej powazne (choc moze glupie)

[b_chmura]

Wszytko jest ok ale dodajac do pliku php na poczatku pierwsze kilka KB z obrazka i nadajc rozszeznie .jpg mozna upnac kod php co mi sie bardzo nie podoba

Domyślnie kod php w plikach z rozszerzeniem .jpg nie jest wykonywany.
Z jakimkolwiek rozszerzeniem oprócz .php .php3 .php4 .php5, także nie wiem w czym problem.

Ten post edytował b_chmura 13.05.2008, 23:35:25

[kiler129]

Domyślnie kod php w plikach z rozszerzeniem .jpg nie jest wykonywany.
Z jakimkolwiek rozszerzeniem oprócz .php .php3 .php4 .php5, także nie wiem w czym problem.

Tak tylko apache chyba po mime patrzy i jakims dzinym trafem uznaje to za plik PHP.
Jak to dziala glebiej nie mam pojecia, najprosciej wylaczyc php w katalogu obrazkow ale niestety nie moge.

[b_chmura]

Tak tylko apache chyba po mime patrzy i jakims dzinym trafem uznaje to za plik PHP.

W takim wypadku przy uploadzie wystarczy najprostsze zabezpieczenie

[PHP] pobierz, plaintext 
<?php
if($_FILES[plik][type]  == 'type/jpg')
  echo 'plik ok';
else
  echo 'plik nie ok';
?>
[PHP] pobierz, plaintext 

[kiler129]

Tak oczywiscie, sprawdzam MIME ale nie wiedziec dlaczego apache przy odowlywnaiu sie do pliku probuje byc madrejszy i wykonuje kod. Jak mowie nie wiem dlaczego ale pomoglo dodanie "RemoveHandler .php"
Mam dostep na serwerze do php.ini - czy jest mozliwsoc pokombinowania w nim i wylaczenia dla konkretnego katalogu engine php ?