| |
|
|
| | Здравствуйте.
Достаточно ли при загрузке файлов проверять их тип таким образом
<?
if ($_FILES["file_name"]["type"] == "image/pjpeg" ||if ($_FILES["file_name"]["type"] == "application/x-zip-compressed")
?>
|
Например, если php файл переименовать в zip файл, он распознаётся как зип (application/x-zip-compressed), возможно ли при этом открыть и запустить его на сервере для выполнения вредоносного кода? Может есть какие рекомендации по безопасности при загрузке файлов? | |
| |
|
|
| |
|
|
| |
для: Den*s
(23.10.2011 в 17:32)
| | | Лучше все-таки расширения проверять... а еще лучше в папку, куда загружаете файлы поместить .htaccess где отключить интерпретацию PHP, Perl и других скриптов, которые поддерживает ваш сервер. | |
| |
|
|
| |
|
|
| |
для: cheops
(23.10.2011 в 18:01)
| | | >а еще лучше в папку, куда загружаете файлы поместить .htaccess где отключить интерпретацию PHP, Perl и других скриптов, которые поддерживает ваш сервер.
Это делается так?
<Files "\.(php|php3|php5|и_т_д)$">
order allow,deny
deny from all
</Files>
|
>Лучше все-таки расширения проверять.
Расширение проверять текстовыми функциями?, на вроде: взять имя файла с конца, и наткнувшись на первую точку взять предыдущие буквы как расширение?
Или может есть функция, которая может показать расширение файла если даже в имени этого файла содержаться точки? | |
| |
|
|
| |
|
|
| |
для: Den*s
(23.10.2011 в 18:26)
| | | Наверно так:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
Order allow,deny
Deny from all
</FilesMatch>
|
А получить расширение можно так:
$filename = "file.qwerty.zip";
$type = array_pop( explode( ".", $filename ) );
echo $type; // zip
|
А можно так:
$filename = "file.qwerty.zip";
$type = pathinfo($filename);
echo $type['extension']; // zip
|
| |
| |
|
|
| |
|
|
| |
для: Den*s
(23.10.2011 в 17:32)
| | | [поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(23.10.2011 в 18:58)
| | | Спасибо за ответы, помогли.
в статье написано
Стоит добавить, что желательно сделать приведение файла к конкретному формату, например jpeg. При приведении метаданные картинки (насколько мне известно) потеряются, обеспечив практически гарантируемую безопастность.
означает ли это, что достаточно использовать функцию rename для того что бы эти метаданные потерялись? | |
| |
|
|
| |
|
|
| |
для: Den*s
(24.10.2011 в 15:08)
| | | насколько я знаю эта функция только переименовывает файл и не более того...
где то читал, что можно прогнать изображение через функции работы и изображениями и тем самым данные будут изменены.
если Вы делаете перью изображений на сайте, то прогоните через эту же функцию оригинал изображения без изменений размера. | |
| |
|
|
