Mam dosc spory problem ze skryptem.
User uploaduje obrazek, skrypt sprawdza czy obrazek ma:

- Dozwolone rozszezenie
- Dozwolony mime
- Nie przekracza 2MB
- Czy funckaj getimagesize() zwroci prawidlowy wynik

Wszytko jest ok ale dodajac do pliku php na poczatku pierwsze kilka KB z obrazka i nadajc rozszeznie .jpg mozna upnac kod php co mi sie bardzo nie podoba
Jak przed tym zabezpiecza sie imageshack ktory nie daje sie nabrac ?

Sposobem będzie na pewno GD lecz dobre tylko gdy będzie mało razy wykonywane (przepisanie piksel po pixelu)

Przy kilku obrazkach to i owszem ale nie przy setkach

edit:

Czesciowo chyba obszedlem problem.
Teraz da sie wgrac taki obrazek ale kod sie nie wykonuje. Dalem w .htaccess:



Chcialem wylaczyc php engine w katalogu obrazkow ale niestety wywala mi HTTP500 ;/

Sposób stary jak świat: wczytaj kilka początkowych i ostatnich bajtów pliku i zobacz, co zawiera. Są też pewnie gotowe rozwiązania (w ramach PEAR, GD etc.)

W zupełności wystarczy getimagesize()

Poczatkowe mozna dac podmienione a koncowe jak niby walidowac?




Ja bla bla bla a ty swoje
Getumagesize wywala mi jakis kosmiczny rozmiar w stylu 535623742345x6745555553235 ale zwraca true i wszytko diabli biora

To sprawdzaj nie true albo false, tylko czy rozmiar jest kosmiczny albo nie. Wiadomo, że zwykły user nie wepchnie obrazka o rozdzielczości większej niż jakaś tam, skoro te z dodatkowym kodem mają dziki rozmiar wystarczy zrobić jeden warunek i voila.

aby obronić się przed wsztrzykniętym kodem PHP (i nie tylko) po prostu pobierz obrazek i poprzez GD przekonwertuj go na jakiś format graficzny (nawet taki sam jakim sam jest) to spowoduje usunięcie wszelkich dodatkowych kodów, które nie są danymi obrazka.

Pozdrawiam

To jest genialne! Dziekuje

Możesz też sprawdzać klasą:
http://manual.babciastefa.boo.pl/download/...ment.class.phps - Sama klasa
http://manual.babciastefa.boo.pl/download/db.eme - Baza danych klasy
http://manual.babciastefa.boo.pl/download/E.M.E.test.phps - Przykład

Dziękuję, Babcia@Stefa

a czy nie wystarczy ustawic praw do takiego pliku na 640

Logicznie rzecz biorąc, jeśli kod zawarty w obrazu będzie "blokowany" przez chmod, to obrazek również.

ale ja blokuję tylko "do wykonania" natomiast czytac może każdy..
i pytanie z mojej strony jest jak najbardziej powazne (choc moze glupie)

Domyślnie kod php w plikach z rozszerzeniem .jpg nie jest wykonywany.
Z jakimkolwiek rozszerzeniem oprócz .php .php3 .php4 .php5, także nie wiem w czym problem.

Tak tylko apache chyba po mime patrzy i jakims dzinym trafem uznaje to za plik PHP.
Jak to dziala glebiej nie mam pojecia, najprosciej wylaczyc php w katalogu obrazkow ale niestety nie moge.

W takim wypadku przy uploadzie wystarczy najprostsze zabezpieczenie

[PHP] pobierz, plaintext 
<?php
if($_FILES[plik][type]  == 'type/jpg')
  echo 'plik ok';
else
  echo 'plik nie ok';
?>
[PHP] pobierz, plaintext 

Tak oczywiscie, sprawdzam MIME ale nie wiedziec dlaczego apache przy odowlywnaiu sie do pliku probuje byc madrejszy i wykonuje kod. Jak mowie nie wiem dlaczego ale pomoglo dodanie "RemoveHandler .php"
Mam dostep na serwerze do php.ini - czy jest mozliwsoc pokombinowania w nim i wylaczenia dla konkretnego katalogu engine php ?