Проверка на тип загружаемого файла.

blaga · 4 Feb 2007

Решил добавить на свой сайт форму для того что бы пользователи могли загружать свои обои. Потом они естественно будут проходить модерацию, но не это важно. Меня интересуют способы запрета заливки левых файлов типа .php .phtml и т.п. Сейчас вот у меня есть такой код:

PHP:

if (substr($_FILES['filename']['type'],0,5) == 'image') { move_uploaded_file($_FILES['filename']['tmp_name'], "/img/wall".$name_image.""); } else { echo "Разрешена загрузка только изображений"; }

Короче мне нужно что бы была возможность загружать только картинки. Что думаете насчет этого кода? Безопасен ли он? Можно ли его использовать в таких целях?
Пока писал этот текст в голову пришла одна мысль, а что если загружать все картинки в один каталог, в котором будет эштеаццесс в котором будет прописано что бы все файлы в этом каталоге обрабатывались как картинки. Возможно ли так сделать? И опять же безопасность этого способа. И какие способы вы можете предложить? Интересны любые идеи по этой теме.

Grey · 4 Feb 2007

На счет безопасности такого способа ничего скачать не могу, но когда я делал подобный скрипт, то проверял загружаемые файлы по расширению(последние 4 символа должны были быть .jpg).

InferNo23 · 4 Feb 2007

я б через .хтаццесс сделал
в папку хтацесс с

AddType image/jpeg .php .php3 .phtml

blaga · 4 Feb 2007

Я тоже так думал, но разницы не вижу особой. Хотя хз...

ZaCo · 4 Feb 2007

2InferNo23 (((((((((((((((((((((((( ты же хакер!!!!((((((
2blaga ((((((((((((((((((((((((((((( ты же хакер!!!!(((((((

Helios · 4 Feb 2007

Самый верный способ - натравить getimagesize или exif_imagetype на полученную картинку - если матюгнутся, знач подстава, нет - все в порядке, можешь копировать.

Кстати, последняя предпочтительней - работает быстрее и не матерится а тихо возвращает false

array getimagesize ( string filename [, array imageinfo])

The getimagesize() function will determine the size of any GIF, JPG, PNG, SWF, SWC, PSD, TIFF, BMP or IFF image file and return the dimensions along with the file type and a height/width text string to be used inside a normal HTML IMG tag.

Returns an array with 4 elements. Index 0 contains the width of the image in pixels. Index 1 contains the height. Index 2 a flag indicating the type of the image. 1 = GIF, 2 = JPG, 3 = PNG, 4 = SWF, 5 = PSD, 6 = BMP, 7 = TIFF(intel byte order), 8 = TIFF(motorola byte order, 9 = JPC, 10 = JP2, 11 = JPX, 12 = JB2, 13 = SWC, 14 = IFF. These values correspond to the IMAGETYPE constants that were added in PHP 4.3. Index 3 is a text string with the correct height="yyy" width="xxx" string that can be used directly in an IMG tag.
Click to expand...

int|false exif_imagetype ( string filename)

exif_imagetype() reads the first bytes of an image and checks its signature. When a correct signature is found a constant will be returned otherwise the return value is FALSE. The return value is the same value that getimagesize() returns in index 2 but this function is much faster.

The following constants are defined: 1 = IMAGETYPE_GIF, 2 = IMAGETYPE_JPG, 3 = IMAGETYPE_PNG, 4 = IMAGETYPE_SWF, 5 = IMAGETYPE_PSD, 6 = IMAGETYPE_BMP, 7 = IMAGETYPE_TIFF_II (intel byte order), 8 = IMAGETYPE_TIFF_MM (motorola byte order), 9 = IMAGETYPE_JPC, 10 = IMAGETYPE_JP2, 11 = IMAGETYPE_JPX, 12 = IMAGETYPE_SWC.
Click to expand...

blaga · 4 Feb 2007

2ZaCo, зато ты chinga-chguk.

ZaCo · 4 Feb 2007

2Helios ты совсем дурачок? головка бобо?
2blaga а ты хакер.

Helios · 4 Feb 2007

2ZaCo
А те только б пофлеймить?

Есть что-то конструктивное - пиши, а нету - не засоряй тему

Ch3ck · 4 Feb 2007

На мой взляд: полная фильтрация имени файла на его расширения. Да и .htaccess с
Code:
RemoveType .php .pl .php5 .php4 .php3 .phtml .cgi 
самое то.
Можно и на кол-во расширений тоже проверять можно...

nc.STRIEM · 4 Feb 2007

Helios говорит дело по поводу getimagesize
а еще в папку куда загружать картинки запретить выполнение скриптов!
+ фильтр типа при загрузке (это то что ты уже написал)
В таком сочетании это будет безопасно!

ZaCo · 4 Feb 2007

2nc.STRIEM ООООО ХЭК а еще можно писать все на хтмл и будет *****то ИМХО

KSURi · 4 Feb 2007

Я бы стал проверять первые байты файла на сигнатуру разрешенного типа изображения...

Helios · 4 Feb 2007

Ксури, exif_imagetype() так и делает, я уже писал:

exif_imagetype() reads the first bytes of an image and checks its signature. When a correct signature is found a constant will be returned otherwise the return value is FALSE. The return value is the same value that getimagesize() returns in index 2 but this function is much faster.
Click to expand...

Abra · 4 Feb 2007

да нахрена вы такие сложности то придумываете.
Нужно:
а) проверять расширение файла (символы после последней точки) на предмет соответствия списку разрешенных (их всегда будет меньше чем запрещенных и так надежнее т.к. ничего случайно не упустишь)
б) чтоб были прямыми руками настроены mime типы (т.е. чтоб не случилась касяка с выполнением картинки как скрипта)

все, имхо.

Helios · 4 Feb 2007

Ну а по сути надо все предложенные методы скомпоновать и использовать вместе, тогда будет безопасно

ettee
А насчет скрина, это сработает только если в .htaccess будет
AddType application/x-httpd-php jpg

Проверка на тип загружаемого файла.

blaga Elder - Старейшина

Grey Banned

InferNo23 Elder - Старейшина

blaga Elder - Старейшина

ZaCo Banned

Helios Elder - Старейшина

blaga Elder - Старейшина

ZaCo Banned

Helios Elder - Старейшина

Ch3ck Elder - Старейшина

nc.STRIEM Members of Antichat

ZaCo Banned

KSURi tnega AOLPS

Helios Elder - Старейшина

Abra Member

Helios Elder - Старейшина

Useful Searches

Проверка на тип загружаемого файла.

blaga Elder - Старейшина

Grey Banned

InferNo23 Elder - Старейшина

blaga Elder - Старейшина

ZaCo Banned

Helios Elder - Старейшина

blaga Elder - Старейшина

ZaCo Banned

Helios Elder - Старейшина

Ch3ck Elder - Старейшина

nc.STRIEM Members of Antichat

ZaCo Banned

KSURi tnega AOLPS

Helios Elder - Старейшина

Abra Member

Helios Elder - Старейшина