Mógłbym prosić kogoś o rzucenie okiem na poniższy skrypt i dodanie kilku linijek do zabezpieczenia głównie przed możliwością wgrania plików o takiej nazwie "plik.jpg.php" oraz przed SQL Injection?
Przeglądałem ten wpis, ale nie bardzo wiem jak dodać te funkcje (i czy warto, bo wpis raczej już wiekowy, nawet sam autor to napisał). http://mijagi.eu/2011/09/zabezpieczenie-skryptu-uploadu/

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
include('mysql.php');
include('functions.php');
 
if(isset($_POST['submit_obrazek']) and $_GET['co']=='obrazek') 
{
if(!$_POST['tytul'] || !$_FILES['obrazek']['name']) {
	echo '<b>Nie wypełniono pola z tytułem lub obrazkiem!</b><br/><a href="add.php">&laquo; Powrót</a>';
	}
	else {
//UPLOAD OBRAZKA
		$sp1 = explode(".",($_FILES['obrazek']['name']));
            if($sp1[1] == "gif" or $sp1[1] == "jpg" or $sp1[1] == "JPG" or $sp1[1] == "GIF" or $sp1[1] == "jpeg" or $sp1[1] == "JPEG" or $sp1[1] == "png" or $sp1[1] == "PNG")
			{
		$data_img=date('dmYHis');
		$uploaddir = './img/'.$data_img.'-';
		$_FILES['obrazek']['name'] = przyjazny_string($_FILES['obrazek']['name']);
		if(move_uploaded_file($_FILES['obrazek']['tmp_name'], $uploaddir.$_FILES['obrazek']['name']))
		{
		//Zmiana rodzielczości obrazka
		if($sp1[1] != "gif" AND $sp1[1]!= "GIF") {
			$image = new SimpleImage();
			$image->load($uploaddir.$_FILES['obrazek']['name']);
			if($image->getWidth() > 670) {
				$image->resizeToWidth(670);
				$image->save($uploaddir.$_FILES['obrazek']['name']);
			}
			else { //Zmiana wielkości do tego samego rozmiaru ale z kompresją
				$image->resizeToWidth($image->getWidth());
				$image->save($uploaddir.$_FILES['obrazek']['name']);
			}
		}
		//////////////////////////////
		$obrazek='./img/'.$data_img.'-'.$_FILES['obrazek']['name'];
		$tytul=htmlspecialchars($_POST['tytul']);
	//	$zrodlo=htmlspecialchars($_POST['zrodlo']);
		$data=date('Y-m-d H:i:s');
 
		$zapytanie = "INSERT INTO `images` (`image_id`, `title`, `image`, `date`, `type`) VALUES ('', '$tytul', '$obrazek', '$data', 'obrazek')"; 
	    $wykonaj = mysql_query($zapytanie); 
		echo '<b>Obrazek został pomyślnie dodany!</b><br/>
		<a href="./index.php">&laquo; Strona Główna</a>'; 
		}
		else {
		echo '<b>Wystąpił błąd podczas dodawania obrazka.</b><br>';
		echo '<a href="add.php">&laquo; Powrót</a>';
		}
			}
		else {
		echo '<b>Nie wybrano żadnego obrazka bądź jego format jest niedozwolony!</b><br/><a href="add.php">&laquo; Powrót</a>';
		}
//KONIEC UPLOAD OBRAZKA
	}
}
else {
?>
 
<?php
if($_GET['co']=='obrazek' || !$_GET['co'])
{
?>
 
<form action="./add.php?co=obrazek" method="post" enctype="multipart/form-data">
 
Title:
<input class="pole" type="text" name="tytul"> <br>
Add image:					
<input type="hidden" name="MAX_FILE_SIZE" value="<?php echo $ustawienia['max_file_size']*1024; ?>" /> <!--maksymalna wielkość pliku w bajtach-->
<input name="obrazek" type="file" /> <span style="color:#595959">(max. <?php echo $ustawienia['max_file_size']; ?>KB)</span> <br>
<input type="submit" name="submit_obrazek" class="button" value="Send" />
</form>
 
<?php
		}
	}
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
function ext($ext)
{
   return strtolower(array_pop(explode('.', $ext)));
}
[PHP] pobierz, plaintext 

Zwróci ostatni ciąg po ostatniej kropce.

mysql_real_escape_string(), albo w ogóle użyj PDO i bindowania, wtedy pozbędziesz się problemu z SQL I.

Witaj.

1. W linii 7. sprawdzasz czy wartość elementu tablicy $_GET['obrazek'] bez sprawdzenia, czy ten index istnieje. To może powodować wiadomość notice.
2. W linii 14. rozdzielasz nazwę na części według kropki. Rozważ sytuację, gdy podam Ci plik o nazwie "moj.wspanialy.plik.jpg". Otrzymam pouczenie, że format jest niedozwolony.
3. W linii 15. warunek można bardziej zoptymalizować. Błędu nie ma, ale można by dopracować to.
4. W linii 19. użyłeś funkcji przyjazny_string(). Możesz pokazać co zawiera?
5. W linii 37. zmieniłbym funkcję na addslashes(). Nie mówię, że to jest błąd, ale wolałbym mieć prawdziwy znak apostrofu w bazie zamiast & #039;.
Ma to znaczenie np. przy przeszukiwaniu bazy.

Rozwiązania:

1. Powinieneś najpierw sprawdzać czy zmienna istnieje, a potem sprawdzać jej wartość. Warto także pracować na zmiennych lokalnych zamiast na superglobalnych. Przykład kodu:

[PHP] pobierz, plaintext 
$submit_obrazek = isset($_POST['submit_obrazek']) ? funkcja_filtrujaca1($_POST['submit_obrazek']) : null;
$co = isset($_GET['co']) ? funkcja_filtrujaca2($_GET['co']) : null;
if(!empty($submit_obrazek) && $co == 'obrazek') {
	// dalszy kod
}
[PHP] pobierz, plaintext 

2. Pobieranie rozszerzenia pliku wykonujemy w ten sposób:

[PHP] pobierz, plaintext 
$rozszerzenie = pathinfo($nazwapliku, PATHINFO_EXTENSION);
[PHP] pobierz, plaintext 

Poczytaj w manualu o funcji pathinfo.

3. Mówiłem, że błędu nie ma, ale można zrobić przyjemniejsze dla oka:

[PHP] pobierz, plaintext 
if(in_array(strtolower($rozszerzenie), array("gif", "jpg", "jpeg", "png", "gif")) {
	// dalszy kod
}
[PHP] pobierz, plaintext 

5. Przy przygotowywaniu danych do użycia w zapytaniu SQL lepiej użyj funkcji mysql_real_escape_string() ewentualnie jakieś dodatkowe filtrowania. Dopiero przy wyświetlaniu tytułu na stronie użyj funkcji htmlspecialchars(). Zainteresuj się PDO. Funkcje zaczynające się od mysql będą w przyszłości wychodzić z PHP.

Pozdrawiam.

Nie wiem czemu, ale po wpisaniu kodu w skrypt wyrzuca błędy, albo w ogóle nie działa, albo z błędami ale przepuszcza dalej (w przypadku plików z rozszerzeniem plik.jpg.php). Potrafiło też wyrzucić, błąd o braku tytułu, obrazku lub nieprawidłowym formacie.

W linii 19. "przyjazny_string" w podłączonym pliku "functions.php" znajduje się to:

[PHP] pobierz, plaintext 
$host  = $_SERVER['HTTP_HOST'];
$uri   = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
 
function przyjazny_string($string){
   $string = strtr($string, 'ĘęÓ󥹌śŁłŹźŻżĆćŃńŻż', 'EeOoAaSsLlZzZzCcNnZz');
   $string = strtr($string, 'ˇĽ','ASZasz');
   $string = preg_replace("'[[:space:]]'",'-',$string);
   $string = strtolower($string);
   $znaki = '-'; 
   $powtorzen = 1;
   $string = preg_replace_callback('#(['.$znaki.'])\1{'.$powtorzen.',}#', create_function('$a', 'return substr($a[0], 0,'.$powtorzen.');'), $string);
   return $string;
}
[PHP] pobierz, plaintext 

edit (13.04.2012):
mógłbym prosić by jednak ktoś "wtopił" to w kod?

Witaj.

Rozwiązanie problemu, który opisałeś na początku ostatniego postu wyjaśniłem w punkcie drugim mojego ostatniego postu.
Funkcję można zapisać inaczej, prościej, jednak nie zawiera ona błędów.



Może jeszcze herbatkę i ciasteczko?

Pozdrawiam.

tylko jak podstawiam pod' rozszerzenie zmienną $sp1 i pod 'nazwapliku' $_FILES['obrazek']['name'] to dalej nie działa...

Rozumiem, że naniosłeś poprawki.
Pokaż aktualny kod. Zaznacz miejsce, gdzie nie działa.

po prostu wstawiłem ten kod:

[PHP] pobierz, plaintext 
$sp1 = pathinfo($_FILES['obrazek']['name'], PATHINFO_EXTENSION);
[PHP] pobierz, plaintext 

zamiast kodu z linii 14.
Po tym zabiegu, podczas dodawania obrazka wyświetla, błąd: "Nie wybrano żadnego obrazka bądź jego format jest niedozwolony!" niezależnie czy to będzie normalny obrazek 'plik.jpg' czy plik.jpg.php'