Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Zabezpieczenie imagick
viking
post 14.06.2008, 19:44:22
Post #1





Grupa: Zarejestrowani
Postów: 6 378
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Przerzucam się właśnie z GD na imagick i ciekawi mnie zabezpieczenie obrazków. Czy np. po wczytaniu zdjęcia z niewiadomego źródła i przepuszczeniu przez thumbnailImage() jest szansa że coś niepożądanego się przedostanie? Wydaje się rzucać wyjątkiem ale nigdy nie wiadomo.


--------------------
Odpowiedzi na często zadawane pytania:
Konfiguracja serwera Apache + PHP 7 pod Windows | Kodowanie znaków na stronach www | PHPTAL w Zend Framework | Programowanie obiektowe w PHP | PDO uniwersalnym sposobem na obsługę baz danych | Kurs PHP (część 1): Podstawowy opis języka
Go to the top of the page
+Quote Post
.radex
post 14.06.2008, 20:28:51
Post #2





Grupa: Zarejestrowani
Postów: 1 657
Pomógł: 125
Dołączył: 29.04.2006

Ostrzeżenie: (0%)
-----

czego niepożądanego np?


--------------------
blog | Tadam — minutnik do Pomodoro na Maka :)
Go to the top of the page
+Quote Post
viking
post 14.06.2008, 20:36:12
Post #3





Grupa: Zarejestrowani
Postów: 6 378
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Kodu php.


--------------------
Odpowiedzi na często zadawane pytania:
Konfiguracja serwera Apache + PHP 7 pod Windows | Kodowanie znaków na stronach www | PHPTAL w Zend Framework | Programowanie obiektowe w PHP | PDO uniwersalnym sposobem na obsługę baz danych | Kurs PHP (część 1): Podstawowy opis języka
Go to the top of the page
+Quote Post
.radex
post 14.06.2008, 20:44:31
Post #4





Grupa: Zarejestrowani
Postów: 1 657
Pomógł: 125
Dołączył: 29.04.2006

Ostrzeżenie: (0%)
-----

W sensie, że co?

Że obrazek zawierałby jakiś spreparowany kod PHP, który miałby się odpalić na serwerze?

Nieee, to niemożliwe, no chyba, że będziesz się bawił eval()em


--------------------
blog | Tadam — minutnik do Pomodoro na Maka :)
Go to the top of the page
+Quote Post
l0ud
post 14.06.2008, 20:49:54
Post #5





Grupa: Zarejestrowani
Postów: 1 387
Pomógł: 273
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----

Praktycznie nie. Teoretycznie może być jakaś dziura w imagicku co na to pozwoli, w praktyce nie ma się co przejmować winksmiley.jpg


--------------------
XMPP: l0ud@chrome.pl
Go to the top of the page
+Quote Post
viking
post 15.06.2008, 06:55:27
Post #6





Grupa: Zarejestrowani
Postów: 6 378
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Samo wstawienie php do obrazka to żaden problem więc nie ma w tym nic dziwnego. Jeszcze mały test zrobiłem. Jeżeli skalujemy obrazek np. do 100x100 a ten ma 99.x99 imagemagic w ogóle go nie rusza czyli kod pozostaje.
Jeszcze pytanie dodatkowe. Czy jest możliwość wykonania kodu php jeżeli zapisaliśmy zdjęcie do folderu publicznego ale ma rozszerzenie prawidłowe dla zdjęcia np .jpg?


--------------------
Odpowiedzi na często zadawane pytania:
Konfiguracja serwera Apache + PHP 7 pod Windows | Kodowanie znaków na stronach www | PHPTAL w Zend Framework | Programowanie obiektowe w PHP | PDO uniwersalnym sposobem na obsługę baz danych | Kurs PHP (część 1): Podstawowy opis języka
Go to the top of the page
+Quote Post
l0ud
post 15.06.2008, 09:55:14
Post #7





Grupa: Zarejestrowani
Postów: 1 387
Pomógł: 273
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----

Cytat
Czy jest możliwość wykonania kodu php jeżeli zapisaliśmy zdjęcie do folderu publicznego ale ma rozszerzenie prawidłowe dla zdjęcia np .jpg?


Nie... No chyba że masz dziurę w skrypcie obok, która pozwala includować dowolny, lokalny plik.


--------------------
XMPP: l0ud@chrome.pl
Go to the top of the page
+Quote Post
viking
post 15.06.2008, 10:02:51
Post #8





Grupa: Zarejestrowani
Postów: 6 378
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Ok. A jesteś na 1000% pewien? Tak pytam bo we wszystkich kursach / artykułach jakie znalazłem wspominali o wyłączeniu możliwości wykonywania skryptów w katalogu gdzie są już przetworzone zdjęcia. Więc mogłoby wskazywać na jakiś problem, potencjalną możliwość.


--------------------
Odpowiedzi na często zadawane pytania:
Konfiguracja serwera Apache + PHP 7 pod Windows | Kodowanie znaków na stronach www | PHPTAL w Zend Framework | Programowanie obiektowe w PHP | PDO uniwersalnym sposobem na obsługę baz danych | Kurs PHP (część 1): Podstawowy opis języka
Go to the top of the page
+Quote Post
l0ud
post 15.06.2008, 10:21:35
Post #9





Grupa: Zarejestrowani
Postów: 1 387
Pomógł: 273
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----

Domyślna konfiguracja właściwie każdego serwera wyklucza możliwość wykonywania plików z rozszerzeniem .jpg (i pobocznych) przez parser php. Gdyby było inaczej już leżałby by chyba wszystkie fora które umożliwiają wgrywanie avatarów etc...


--------------------
XMPP: l0ud@chrome.pl
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 20.06.2025 - 20:12
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn