Witam ponownie.
Mam takie pytanie czy ten skrypt jest bezpieczny??

[PHP] pobierz, plaintext 
<?
  $plik_tmp = $HTTP_POST_FILES['plik']['tmp_name'];
  $plik_name = $HTTP_POST_FILES['plik']['name'];
  $plik_size = $HTTP_POST_FILES['plik']['size'];
  $plik_type = $HTTP_POST_FILES['plik']['type'];
  $wih = getimagesize ($plik_tmp);
 
  if  ($wih[0] < 1||$wih[1] < 1){
  echo"Plik nie jest zdjęciem.";
  exit;
  }
                    }
  if(empty($plik_tmp) and empty($plik_name) and empty($plik_size) and empty($plik_type)){
    echo"Nieprawidłowy plik";
    exit;
  }
 
  if($plik_size > 2000000){
    echo"Plik za duży. Tylko pliki do 2MB.";
    exit;
  }
 
  if($plik_type != "image/jpg"){
    echo"Zły rodzaj pliku.";
    exit;
  }
 
  if(is_uploaded_file($plik_tmp)) {
     move_uploaded_file($plik_tmp, "upload/$plik_name");
    echo "Plik: <strong>$plik_name</strong> o rozmiarze
    <strong>$plik_size bajtów</strong> został przesłany na serwer!";
  }else{
    echo"Błąd.";
    exit;
  }
?>
 
<form enctype="multipart/form-data" action="?dodaj" method="POST">
<input type="file" name="plik">
<input type="submit" value="Wyślij">
</form>
[PHP] pobierz, plaintext 

Nie, gdyż można sfałszować "image/jpg" i wrzucić plik .php, phtml itp.

[PHP] pobierz, plaintext 
move_uploaded_file($plik_tmp, "upload/$plik_name");
[PHP] pobierz, plaintext 

Użyj losowego ciągu dla nazw plików np md5(microtime(1)).'.jpg';

No ale przecież skrypt sprawdza wymiary pliku.

wytknięcie błędów w pojedynczym skrypcie nic Ci nie da, jeżeli chcesz tworzyć bezpieczne skrypty musisz zrozumieć co może taki użytkownik zrobić, dlatego zanim stworzysz skrypt gugluj trochę i poczytaj np.
http://php.about.com/od/advancedphp/qt/upload_security.htm
http://www.mysql-apache-php.com/fileupload-security.htm
http://www.netlobo.com/php_file_upload_security.html
http://www.acunetix.com/websitesecurity/up...orms-threat.htm

Ale ja pytałem się tylko czy ten skrypt jest bezpieczny

A Neo odpisał że nie...