Witam!

W serisie który projektuje mam zrobić możliwość dodawania zdjęć.
Jak najbezpieczniej to zrobic?

Moj plan jest tak:
1.w formularzy chce umiescic pole MAX_FILE-SIZE=1000, aby przegladarka mogla odrzucic wieksze pliki.
Ale czytalem ze to mozna latwo obejsc, wiec wielkosc pliku sprawdze jeszcze po zaladowaniu go na serwer.
2.Zaladowane pliki bede umieszczal w tymczasowym katalogu (z uprawnieniami 766).
3. Z nazwy pliku usune wszytkie spacje i pobiore tylko ostatnie 20 znakow (wieksze nazwy sa chyba niepotrzebne, a dlatego od konca zeby miec rozszrzenie pliku).
4.Sprawdze czy rozszerzeniem pliku jest jpg lub png.
5 Zmienie prawa pliku na 644
6. Z pomoca biblioteki GD stworze miniaturki
7. przeniose obrazki do docelowych kalalogow.

Czy moge jeszcze cos dodac?

Szukalem na forum i w google, ale nic konkretnego nie znalazlem.

--
Pozdrawiam
Kuba

1.w formularzy chce umiescic pole MAZ_FILE-SIZE=1000, aby przegladarka mogla odrzucic wieksze pliki.
Ale czytalem ze to mozna latwo obejsc, wiec wielkosc pliku sprawdze jeszcze po zaladowaniu go na serwer.


a możesz mi powiedzieć jak? bo mnie zainteresowało to.

Nie wiem jak... Tak przeczytalem w ksiazce: PHP5 i MySQL (T.Converse, J.Park C.Morgan)
Nie interesuje sie lamaniem zabezpieczen, ale skoro oni takl pisza to cos w tym jest nie?


Ktos moze stworzyc swoja strone z formularzem z podrobina wartoscie MAX_FILE_SIZE i wyslac na odpowiedni adres (tak przypuszczam po przeczytaniu kilku stron, sam tak nie prubowalem)

Moja wersja kodu do uploadowania plikow graficznych:

[PHP] pobierz, plaintext 
<?php
if($_FILES['plik']['error'] == 0)
		{
		if(!($_FILES['plik']['type'] == 'image/jpeg' || $_FILES['plik']['type'] == 'image/png'))  //sprawdzenie typu mime pliku
		  $this->komunikat[] = 'Niedozwolony format pliku!';
		if($_FILES['plik']['size']>1000000)	   //gdyby ktos chcial podrobic formularz i zmienil wartosc MAX_FILE_SIZE
		  $this->komunikat[] = 'Za duży rozmiar pliku!';
		if($this->komunikat == NULL)  //dodanie pliku
		  {
		  $plik = trim($_FILES['plik']['name']); //wyczyszczenie nazwy pliku z poczatkowych i koncowych spacji
		  $plik = ereg_replace(' ','', $plik);  //usuniecie z nazwy spacji
		  $plik = substr($plik, -20);		  //pobranie ostatnich 20 znakow nazwy pliku
		  if(ereg('.jpg',$plik) || ereg('.jpeg',$plik) || ereg('.png',$plik))  //sprawdzenie rozszrzenia pliku
			{
			if(is_uploaded_file($_FILES['plik']['tmp_name']))  //czy jset uploadowany plik
			  {
			  $nazwa_plik=$plik;$i=0;
			  while (file_exists($this->katalog.'/'.$nazwa_plik))  //sprawdzenie czy istnieje plik o podnaje nazwie, jezeli tak to dodajemy $i;
			   {
			   $nazwa_plik=$i.$plik;
			   $i++;
			   }
			  $sciezka_do_pliku = $this->katalog . $nazwa_plik;
			  move_uploaded_file($_FILES['plik']['tmp_name'],$sciezka_do_pliku);
			  chmod($sciezka_do_pliku, 0644);  //zmiana praw pliku
			  $this->komunikat[] = 'Plik został przekazany pomyślnie';
			  }
			else
			  $this->komunikat[] = 'Przekazanie pliku nie powiodło się';
			}
		  else
			 $this->komunikat[] = 'Dozwolone są tylko pliki graficzne!';  
		  }
		}
	  elseif($_FILES['plik']['error'] == 1)
		$this->komunikat[] = 'Za duży rozmiar pliku!';  //rozamiar zdefiniowany w php.ini
	  elseif($_FILES['plik']['error'] == 2)
		$this->komunikat[] = 'Za duży rozmiar pliku!'; //rozamiar zdefiniowany w formularzu MAX_FILE_SIZE
	  else
		$this->komunikat[] = 'Inny blad';
?>
[PHP] pobierz, plaintext 

Chyba bedzie nie? A moze macie jakies uwagi jeszcze?

na poczatek move_uploaded_file" title="Zobacz w manualu PHP" target="_manual lub is_uploaded_file" title="Zobacz w manualu PHP" target="_manual

jak juz zosalo napisane do sprawdzania typu nie uzywaj rozszezenia tylko mime $_FILES['plik']['type']

czyli jak juz sprawdze typ pliku z $_FILES['plik']['type'] to nie sprawdzac rozszerzenia?
Chcialem to sprawdzic daletgo jakby ktos podrobil formularz... takie drugie zabezpieczenie