Przerzucam się właśnie z GD na imagick i ciekawi mnie zabezpieczenie obrazków. Czy np. po wczytaniu zdjęcia z niewiadomego źródła i przepuszczeniu przez thumbnailImage() jest szansa że coś niepożądanego się przedostanie? Wydaje się rzucać wyjątkiem ale nigdy nie wiadomo.

czego niepożądanego np?

Kodu php.

W sensie, że co?

Że obrazek zawierałby jakiś spreparowany kod PHP, który miałby się odpalić na serwerze?

Nieee, to niemożliwe, no chyba, że będziesz się bawił eval()em

Praktycznie nie. Teoretycznie może być jakaś dziura w imagicku co na to pozwoli, w praktyce nie ma się co przejmować

Samo wstawienie php do obrazka to żaden problem więc nie ma w tym nic dziwnego. Jeszcze mały test zrobiłem. Jeżeli skalujemy obrazek np. do 100x100 a ten ma 99.x99 imagemagic w ogóle go nie rusza czyli kod pozostaje.
Jeszcze pytanie dodatkowe. Czy jest możliwość wykonania kodu php jeżeli zapisaliśmy zdjęcie do folderu publicznego ale ma rozszerzenie prawidłowe dla zdjęcia np .jpg?

Nie... No chyba że masz dziurę w skrypcie obok, która pozwala includować dowolny, lokalny plik.

Ok. A jesteś na 1000% pewien? Tak pytam bo we wszystkich kursach / artykułach jakie znalazłem wspominali o wyłączeniu możliwości wykonywania skryptów w katalogu gdzie są już przetworzone zdjęcia. Więc mogłoby wskazywać na jakiś problem, potencjalną możliwość.

Domyślna konfiguracja właściwie każdego serwera wyklucza możliwość wykonywania plików z rozszerzeniem .jpg (i pobocznych) przez parser php. Gdyby było inaczej już leżałby by chyba wszystkie fora które umożliwiają wgrywanie avatarów etc...