Разное

Вот допустим есть форум, и на нём есть аваторы, если разрешить загружать аваторы пользователям, может ли это повлеч неправильной работы форума? Всмысле в картинке могут быть вредоносные коды, которые могут иметь последствия для форума?

Проблема скорее будет крыться в возможности загружать эти картинки.. а в самой не думаю.

В самой картинке теоретически и может что-то быть, но не более чем какие-то споры вируса...Ничего страшного быть не может...

А если тот кто имеет свой сервер или хор. хостинг и поставит выполнение пхп кода в картинке ? Такое возможно ?

Вообще-то думаю возможно...если поменять расширение файла...Только если самому себе проблемы создавать...=)
хор. хостинг
Какой же он после этого хороший? =) В смысле менять MIME-типы самому?

я имел ввиду обработку пхп в файле, любого расширения.

Да можно будет украсть cookie.

Описанное подходит под классический случай уязвимости перед XSS, или межсайтовым скриптингом. Принцип прост - всякий посетитель форума неизбежно загружает себе на машину этот самый аватар; т.е. вот оно проникновение к пользователю. Дальше зависит от фантазии=) Самое простое - сбор статистики, чуть сложнее - кража кукисов или сессии. Защиты, насколько я знаю, нет.

ЗЫ Видел статью по этому поводу; если найду - дам ссылку.

Вот ссылка.

В самой картинке теоретически и может что-то быть, но не более чем какие-то споры вируса...Ничего страшного быть не может...
Зря вы так:

Обновление системы безопасности для ОС Windows XP (KB912919) Краткое описание В модуле обработки графики обнаружена проблема безопасности, связанная с удаленным выполнением программного кода, позволяющая злоумышленнику удаленно нарушить защиту компьютера с операционной системой Windows и получить возможность управления им.

http://www.microsoft.com/downloads/...DisplayLang=ru

Так на чём мы остановились? Может есть функция, чтобы php скрипт както проверял картинку? Ведь даже существуют специальные хосты для картинок(http://imageshack.us/) ониже не боятся ничего.

Вздор!!!

Можно проверить расширение, MIME-тип и размеры изображения. Понятное дело, что при подделке MIME и расширения, размеры просто не смогут вычислиться.

Ещё вариант: при помощи GDlib создать новое изображение с размерами загруженного и скопировать в новое изобр. старое при помощи функции imagecopy(). Затем сохранить новую картинку в файловой системе. Эта картинка будет на 100% картинка. Без лишних "довесков". Правда GIF, если он анимированный, потеряет всю анимацию. Останется только первый кадр.

Комбинирование этих двух методов позволит полностью обезопасить изображение.

это если изображение сохраняется на хосте. Тут вроде рассматривают случай, когда изображение находится на другом сервере.

Тогда нельзя ставить прямые ссылки на файлы. Например [img]http://example.com/remote_img.png[/img] не должно превращаться в <img src="http://example.com/remote_img.png"/>, а должно быть предварительно загружено на сервер, проанализированно и выведено в браузер как <img src="temp/img1148070532.png"/>. В таком случае разумно поставить ограничение на размер зугружаемых файлов. Размер можно получить, отослав заголовок HEAD на удалённый сервер.

Тут вроде рассматривают случай, когда изображение находится на другом сервере.
Лично я говорил про картинку, сохраненную на хосте. А если просто ссылка, то там, конечно, можно сделать что-нибудь не очень хорошее...