Forum PHP.pl > [PHP]Upload obrazków

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP]Upload obrazków - czy jest bezpieczny

nait

7.08.2012, 11:36:35

Piszę ostatnio mała aplikację i obecnie napisałem upload obrazków. Testowałem i wygląda ok.
Moja pytanie brzmi czy jest on bezpieczny i w miarę dobry/przemyślany?

Przejrzałem wcześniej pełno tematów o uploadzie i jego zabezpieczeniu i starałem się zrobić to w nalerzyty sposób

Ok poprawiłem

[PHP] pobierz, plaintext 
case 'upload':	
	$directory = $_GET['p'];
	$img_name = $_FILES['img_file']['name'];
	$img_size = $_FILES['img_file']['size'];					
 
	//------------------------------------------------------------------//
 
	$extension = substr( $img_name, strrpos( $img_name, '.' ) );				
	$random_name = md5(time( ) . $img_name);
	$new_png = $random_name . '.png';
	$img_name = $random_name . $extension;
	$img_dir = "../uploaded_img/$directory/";	
	$img_full = $img_dir . $img_name;			
 
	//------------------------------------------------------------------//	
 
	$allow_types = array('image/gif', 'image/jpeg', 'image/png', 'image/jpg');
	$allow_positions = array('left','center','right');
	$px_array = getimagesize($_FILES['img_file']['tmp_name']);					
 
	//------------------------------------------------------------------//	
 
	if(!is_uploaded_file($_FILES['img_file']['tmp_name'])) {
		AddReport('error', '<b>Błąd</b> - Wybierz plik');
		break;
	}
 
	//------------------------------------------------------------------//	
 
	elseif(!in_array($_FILES['img_file']['type'], $allow_types, true)) {
		AddReport('error', '<b>Błąd</b> - Niedozwolony format pliku');
		break;
	}
 
	//------------------------------------------------------------------//
 
	elseif($px_array[0] < 1 || $px_array[1] < 1) {
			AddReport('error', '<b>Błąd</b> - Plik nie jest obrazkiem');
			break;
	}
 
	//------------------------------------------------------------------//	 
 
	elseif(!move_uploaded_file( $_FILES[ 'img_file' ][ 'tmp_name' ], $img_full )) {	
			AddReport('error', '<b>Błąd</b> - Nie można przesłać pliku');
		break;
	}
 
	//------------------------------------------------------------------//
 
	else {
		chmod($img_full, 0600 );
		list($width, $height, $type, $attr) = getimagesize($img_full);
 
		//------------------------------------------------------------------//
 
		if($type > 3 || $img_size >= 2097152) {
			// [IMAGETYPE_GIF] => 1
			// [IMAGETYPE_JPEG] => 2
			// [IMAGETYPE_PNG] => 3
			// 2 MB
			unlink($img_full);
			AddReport('error', "<b>Błąd</b> - Zbyt duży plik lub niedozwolony format");
			break;
		}
 
		if($width > 400 || $height > 400 ){ 
			$new_dimensions = ScaleImg($width, $height, 400, 400);;
		} else {
			$new_dimensions['width'] = $width;
			$new_dimensions['height'] = $height;
		}
 
		$img_png = imagecreatetruecolor($new_dimensions['width'], $new_dimensions['height']);							
 
		switch ($type) {
			case 1: // GIF
				$img_old = imagecreatefromgif($img_full);
				imagealphablending($img_png, false);
				imagesavealpha($img_png, true);
				imagecopyresampled($img_png,$img_old, 0, 0, 0, 0,
								   $new_dimensions['width'], $new_dimensions['height'], 
								   $width, $height); 
				imagepng($img_png, $img_dir.$new_png);
				unlink($img_full);
			break;
 
			case 2: // JPG
				$img_old = imagecreatefromjpeg($img_full);							
				imagecopyresampled($img_png,$img_old, 0, 0, 0, 0,
								   $new_dimensions['width'], $new_dimensions['height'], 
								   $width, $height); 
				imagepng($img_png, $img_dir.$new_png);
				unlink($img_full);
			break;
 
			case 3: // PNG
				$img_old = imagecreatefrompng($img_full);
				imagealphablending($img_png, false);
				imagesavealpha($img_png, true);
				imagecopyresampled($img_png,$img_old, 0, 0, 0, 0,
								   $new_dimensions['width'], $new_dimensions['height'], 
								   $width, $height); 
				imagepng($img_png, $img_dir.$new_png);
			break;
		}
 
		//------------------------------------------------------------------//
 
		$query = "INSERT INTO about_img
				  (id, name)
				   VALUES
				  (NULL, '$new_png')";
		$result = mysqli_query($connect, $query);
		if(!$result) {
			AddReport('error', '<b>Błąd</b> - Bład podczas połączenia z bazą danych');
			unlink($img_full);
		}
		if (empty($_SESSION['reports']))        
			AddReport('success', "<b>Obraz dodany pomyślnie</b>"); 
 
	}
 
break;
 
[PHP] pobierz, plaintext

Działaaaaa

Liczę na cenne sugestie/porady

Naprawione, ponawiam

erix

7.08.2012, 11:37:25

[PHP] pobierz, plaintext 
elseif(!in_array($_FILES['img_file']['type'], $allow_types, true)) {
 
		AddReport('error', '<b>Błąd</b> - Niedozwolony format pliku');
 
		break;
 
	}
[PHP] pobierz, plaintext

Odpowiedź na pytanie w temacie: nie, nie jest.

nait

7.08.2012, 11:42:44

W którymś temacie widziałem takie rozwiązanie i pisali że było ok. A więc w jaki sposób lepiej to sprawdzać?

PS
Jeszcze później dodam sprawdzenie czy plik istnieje już na serwie i w bazie.

erix

7.08.2012, 11:46:41

Cytat

W którymś temacie widziałem takie rozwiązanie i pisali że było ok

Nie jest ok, bo mogę tam wepchnąć, co tylko zechcę po stronie klienta.

Sprawdzaj MIME na serwerze.

nait

7.08.2012, 11:54:37

Jakaś wskazówka jak/czym to lepiej sprawdzić? getimagesize()?

erix

7.08.2012, 11:59:53

W zasadzie wystarczy do obrazków.

Ale pamiętaj, że w EXIF-ach można też coś przemycić, a kod PHP raczej nie jest w nich wskazany (źle skonfigurowany serwer jest w stanie wykonać kod z komentarzy w obrazkach).

nait

8.08.2012, 15:38:23

Dodałem jeszcze sprawdzenie finfo_open(FILEINFO_MIME) styknie już.

Ale mam inne pytanie, jest sens sprawdzania czy plik już istnieje jeśli mam zmienianą nazwę pliku na

[PHP] pobierz, plaintext 
$random_name = md5(time( ) . $img_name);
[PHP] pobierz, plaintext

? W zasadzie nie ma szans żeby nazwa się powtórzyła

erix

9.08.2012, 11:02:02

Teoretycznie jest - w tej samej sekundzie dwie osoby dają identycznie nazwany plik.

Od nazw unikalnych jest uniqid.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.