Автор Тема: Безопасность аплоада (Прочитано 3870 раз)

Nicca · « : 13 Августа 2004, 18:38:12 »

Такой вопрос: можна ли обойти проверку на тип файла который ниже у меня в коде? И безопасный ли этот код(имеется в виду чтобы нельзя было загрузить юзеру другой тип файла(пхп например)

$file = $_FILES[\'img\'.$cur][\'name\'];
$type = $_FILES[\'img\'.$cur][\'type\'];
$size = $_FILES[\'img\'.$cur][\'size\'];
$temp = $_FILES[\'img\'.$cur][\'tmp_name\'];
if (($type==\'image/pjpeg\') or ($type==\'image/gif\'))
{
if ($size<512000)
{
move_uploaded_file($temp, \'../photos/news/\'.$file);
rename(\'../photos/news/\'.$file,\'../photos/news/\'.$name);
}
else { echo "Слишком большой размер файла"; }
}
else
{
echo "Неправильный тип файла. Можно только gif u jpg формат";
}

tserbis · « **Ответ #1 :** 13 Августа 2004, 18:41:52 »

Не уверен, что приведу лучшее вообще решение, но:
Правильно - ограничивать допустимые расширения файлов. Остальным - насильно .jpg, например. PHP-файл с расширением jpg, как правило, не страшен.

Croaker · « **Ответ #2 :** 13 Августа 2004, 19:26:37 »

Цитировать

tserbis:
PHP-файл с расширением jpg, как правило, не страшен

в ОС Unix расширение большой роли не играет. Вы можете написать скрипт на перле, сохранить его как image.jpg, запустить, например

Код: [Выделить]


perl image.jpg

и он у вас успешно отработает.

ThE0ReTiC · « **Ответ #3 :** 13 Августа 2004, 19:39:47 »

Цитировать

tserbis:
PHP-файл с расширением jpg, как правило, не страшен.

не факт, мсье Дюк.
Croaker прав...
с РНР тоже самое отработает...
другое дело его еще надо вызвать таким образом

tserbis · « **Ответ #4 :** 14 Августа 2004, 13:48:14 »

Итого, я не понял, где я не прав...
>> PHP-файл с расширением jpg, как правило, не страшен.

CGVictor · « **Ответ #5 :** 14 Августа 2004, 16:41:36 »

Nicca
ИМХО - проверяй и то (image/pjpeg), и другое (.jpg)...

Syrinx · « **Ответ #6 :** 14 Августа 2004, 22:34:03 »

По-моему, проще просто проверить загруженный файл на тип изображения.

int exif_imagetype ( string filename)

если возвращает, скажем, IMAGETYPE_GIF или IMAGETYPE_JPEG, то это, скорее всего - не php.

Yukko · « **Ответ #7 :** 14 Августа 2004, 22:54:36 »

Четко знать, что можно загружать, и какие особенности загружаемых файлов, по которым можно однозначно определить тип файла.
Явно запретить все, что не подходит под описание файла. Явно разрешить все, что подходит.

Цитировать

Syrinx:
exif_imagetype

а чего собственно при обсуждении аплоада упираться в то, что будет аплодиться именно картинка? А текстовый файл мне уже зааплодить нельзя? Архив? Вордовый документ?

Syrinx · « **Ответ #8 :** 15 Августа 2004, 10:50:10 »

Цитировать

Yukko:
а чего собственно при обсуждении аплоада упираться в то, что будет аплодиться именно картинка? А текстовый файл мне уже зааплодить нельзя? Архив? Вордовый документ?

Был задан конкретный вопрос, из которого следовало, что будет аплоудится именно картинка. Если же нужно зааплоудить что-то другое, ясное дело, нужно использовать (или писать самому) соответствующую функцию проверки.

sublimity · « **Ответ #9 :** 15 Августа 2004, 12:34:48 »

А попробуй проверять размеры изображения через ф-ции GD

Новости:

Автор Тема: Безопасность аплоада (Прочитано 3870 раз)