Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Безопастная загрузка изображений
 
 автор: nikolayers   (13.08.2012 в 15:15)   письмо автору
 
 

МОжно ли считать код безопастным
$uploaddir = 'img/'; 
$uploadfile = "$uploaddir$apend";
if($_FILES['image']['size'] != 0 and $_FILES['image']['size']<=1024000)
{
    
    if (move_uploaded_file($_FILES['image']['tmp_name'], $uploadfile))
    {
        $size = getimagesize($uploadfile);
        if ($size[0] > 100 && $size[1] < 5001)
        {
            echo "Файл загружен.";
        }
        else
        {
            echo "Размер пикселей превышает допустимые нормы (ширина не более - 600 пикселей, высота не более 5000)";             unlink($uploadfile);
        }
    }
    else
    {
        echo "Файл не загружен, верьнитель и попробуйте еще раз";
    }
}
else
{
    echo "Размер файла не должен превышать 1000Кб";
}

Ну и еще добавить проверку расширения, но а в целом - есть ли тут уязвимости? так как изображение будет сохранено как картинка, и на хостинге выполнятся не сможет...

  Ответить  
 
 автор: confirm   (13.08.2012 в 15:19)   письмо автору
 
   для: nikolayers   (13.08.2012 в 15:15)
 

А каким образом разрешение и размер изображения влияют на безопасность?

  Ответить  
 
 автор: nikolayers   (13.08.2012 в 16:36)   письмо автору
 
   для: confirm   (13.08.2012 в 15:19)
 

если оно вообще есть, значит это картинка

  Ответить  
 
 автор: ols   (13.08.2012 в 17:18)   письмо автору
 
   для: nikolayers   (13.08.2012 в 16:36)
 

Не факт. Что мешает в изображение вписать произвольный скрипт?

  Ответить  
 
 автор: nikolayers   (13.08.2012 в 17:34)   письмо автору
 
   для: ols   (13.08.2012 в 17:18)
 

я проверил, загрузив картинку со вложенным произвольным скриптом - так как файл имеет расширение jpg, то скрипт никак не сможет выполнится...или сможет? поетому я и задал здесь вопрос))

  Ответить  
 
 автор: ols   (13.08.2012 в 17:45)   письмо автору
 
   для: nikolayers   (13.08.2012 в 17:34)
 

Все верно. Только не забудьте про белый лист.

  Ответить  
 
 автор: confirm   (13.08.2012 в 19:43)   письмо автору
 
   для: nikolayers   (13.08.2012 в 16:36)
 

Больше или меньше, это не безопасность, это ваши "капризы", условия пользователю, и к безопасности отношения не имеют.
Наличие или нет в ключе "name", "tmp_name", "size" чего-то, это еще не гарантия, что изображение загружено. Проверять надо ключ "error", он для этого специально и присутствует в массиве.
Безопасность, это недопущение ухищрений типа null-байта добавляемого в имя файла - если этот трюк прокатит, то ваш скрипт увидит расширение от картинки, а фактически это будет php.
Аккуратность - это ни в коем случае не доверять расширению потому, что это может быть не картинка, а мусор под расширением картинки. И даже в валидную картинку можно подцепить мусор.

  Ответить  
 
 автор: psychomc   (13.08.2012 в 17:16)   письмо автору
 
   для: nikolayers   (13.08.2012 в 15:15)
 

лучше сделать getimagesize $_FILES["image"]["tmp_name"], и уже потом, если не вернула false, делать другие проверки исходя их того что она вернула и загружать файл с помощью move_uploaded_file.

  Ответить  
 
 автор: Slo_Nik   (13.08.2012 в 19:23)   письмо автору
 
   для: nikolayers   (13.08.2012 в 15:15)
 

на хабре видел статью о безопасной загрузке файла...
Поищите, там всё подробно расписано.
Проверка на расширение и размер не даёт ни каких гарантий

  Ответить  
 
 автор: Jaroslav   (13.08.2012 в 19:55)   письмо автору
 
   для: nikolayers   (13.08.2012 в 15:15)
 

кидайте в папку с файлами ~ такой .htaccess

************************
RemoveHandler .php .phtm .htm .html .phtml .pl .rb .py .sh
AddType text/plain .php .phtm .htm .html .phtml .pl .rb .py .sh

<FilesMatch "\.ph(p3?|tml|pl|rb|py|sh)$">
SetHandler application/x-httpd-php-source
</FilesMatch>

<IfModule mod_mime.c>
AddType text/plain .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .exe .ico
</IfModule>
************************

  Ответить  
 
 автор: nikolayers   (16.08.2012 в 21:32)   письмо автору
 
   для: Jaroslav   (13.08.2012 в 19:55)
 

Логически рассуждая, добавив правки в htaccess, расширение начнет иметь значение?

  Ответить  
 
 автор: DoKeRaToR   (26.08.2012 в 16:36)   письмо автору
 
   для: nikolayers   (13.08.2012 в 15:15)
 

можно сделать такую проверку:

<?php
$format 
= array(".php",".php4",".php3",".phtml",".pl");
 foreach (
$format as $item){
 
//Проверяем регулярным выражением регистр
 
if(preg_match("/$item\$/i"$_FILES['userfile']['name'])) {
 echo 
"Разрешенно загружать, только картинки<br />";
 echo 
"<a href='index.php'>&lt;&lt;&lt; Назад</a>";
 exit();
 }
 }
?>

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования