|
|
|
| Читал, многие советуют проверять загруженное изображение (да и файлы вообще), пока оно еще находится в папке "/tmp", и только если проверка удачна - переносить его , так сказать, к себе.
Кто-то советует сразу перенести к себе, и никогда не работать с файлом, пока он еще в "/tmp".
подскажите, какие плюсы и минусы у обоих этих вариантов.
И еще: какой самый надежный и легкий способ узнать mime-тип файла? | |
|
|
|
|
|
|
|
для: ramundo
(14.03.2016 в 07:00)
| | Легкий и надежный это взаимоисключающие понятия.
Лично я, абсолютно все загружаемые изображения перерисовываю, а temp файлы удаляю, так я получаю 100% гарантию от всякого вредоносного кода. Да это сложнее и затратнее (в плане ресурсов), чем обычные проверки на типы файла и т.п. но сейчас развелось куча кулибиных, которые под видом изображения, пытаются загрузить эксплойты и прочую гадость. Да и подменять mime давно уже научились...
А прочие файлы лучше на сервере хранить с другим названием и расширением. А при запросе файла пользователем, подменять название и присвоенное вами расширение, на оригинальные. К примеру если вам на сайт загружают файл - 1.php переименовываете его в - 2345.mytemp Это избавит вас от любых попыток запустить файлы на вашем сервере. | |
|
|
|