| |
|
|
| | Всем привет!
На сервере есть папка с фотографиями. Например: www.xxx.ru/img/
Зная имя файла мы можем сформировать следующий тег
echo "<img src='www.xxx.ru/img/$filename'>"
|
Будет хорошо, если расширение файла всегда будет jpg или gif, а если php. Есть ли смысл в целях безопасности проверять $filename на принадлежность форматам изображения и в случае чего преобразовывать его к txt. убережет ли? | |
| |
|
|
| |
|
|
| |
для: Импекс
(11.06.2010 в 09:26)
| | | А он там будет этот $filename без вашего ведома? В этой папке запретите выполнение всяких скриптов. | |
| |
|
|
| |
|
|
| |
для: sim5
(11.06.2010 в 09:43)
| | | $filename это имя файла, которое достается из бд.
если папка img не ограничена в правах, то необходимо проверять те файлы на разрешение, и если что, переименовывать их в txt? | |
| |
|
|
| |
|
|
| |
для: Импекс
(11.06.2010 в 09:58)
| | | Не важно от куда это имя.
Надо полагать, вы получаете это имя из базы и при выводе страницы подставляете в тег img имя файла, а не пользователь за вас это делает, так ведь?
Ну подставит он в ваш тег crack.php, и если такого файла в указанном каталоге не будет, что ответит сервер?
PS. Загружено вам на сервер изображение или нет, нужно проверять на стадии его загрузки, а не при выуживании его имени из базы. | |
| |
|
|
| |
|
|
| |
для: sim5
(11.06.2010 в 10:02)
| | | а вот в том то и вопрос, не будет ли такого файла на сервере.
А если будет)) В общем я говорю про дополнительный контроль на выходе и то как его реализовать | |
| |
|
|
| |
|
|
| |
для: Импекс
(11.06.2010 в 10:09)
| | | PS прочтите еще раз.
>а вот в том то и вопрос, не будет ли такого файла на сервере.
Это от вас зависит. | |
| |
|
|
| |
|
|
| |
для: sim5
(11.06.2010 в 10:14)
| | | Это от вас зависит.
а вот и нет)), Если не я делал админку)) и нет доступа, есть только к выводу в браузер))
Я с Вами согласен, что проверка должна быть на входе)) Но в данной ситуации какие варианты? | |
| |
|
|
| |
|
|
| |
для: Импекс
(11.06.2010 в 10:21)
| | | А при чем тут админка? При любой загрузке на сервер, не важно кем, нужно проверять то, что загружают. Но если админ (хозяин сайта) враг сам себе, то это его проблемы. От него как от пользователя во многом будет зависеть присутствие "лишнего" в каталогах.
Ну а чтобы не выполнялись скрипты в такой папке, то можно поместить в каталог .htaccess файл со следующим содержимым:
php_flag engine 0
AddType "text/html" .php .cgi .pl и т.п.... | |
| |
|
|
| |
|
|
| |
для: Импекс
(11.06.2010 в 10:21)
| | |
<? if (!file_exists(путь))
//может как-то так :)
|
- это я про то чтобы проверить существует такой файл или нет
P.S. Не уверен что совсем правильно понял вопрос :) | |
| |
|
|
