прверка рисунка на вшивость -> Форум на Исходниках.Ру

	Наши проекты: Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту

Здравствуйте, Гость ! [18.223.172.199]

Модераторы: Serafim, fatalist

прверка рисунка на вшивость

sanweb

Сообщ. #1 , 26.01.07, 08:48

Profi

Профиль · PM

Рейтинг (т): 6

как сделать чтобы файлы больше 100 кб и форматы отличные от gif, png, jpg на сервер не закачивались

if($_FILES[file][size]<102400)

{

if($_FILES[file][type]=="gif"||$_FILES[file][type]=="png"||$_FILES[file][type]=="jpg")

{

//код закачки на сервак

}

вот этот вот код при файле 30кб jpg не работатет :wall:

SiMM

Сообщ. #2 , 26.01.07, 09:52

Master

Профиль · PM

Поощрения: 1 Dgm

Рейтинг (т): 177

Цитата sanweb @ 26.01.07, 08:48

вот этот вот код при файле 30кб jpg не работатет

http://phpfaq.ru/debug
http://php.net/getimagesize

Добавлено 26.01.07, 09:53

Цитата sanweb @ 26.01.07, 08:48

//код закачки на сервак

Садись, два. К тому времени, когда скрипт запущен - файл УЖЕ закачан на сервак.

Рысь

Сообщ. #3 , 26.01.07, 09:57

aka Волченка

Профиль · PM

Поощрения: 3 Dgm

Рейтинг (т): 60

Цитата SiMM @ 26.01.07, 09:52

К тому времени, когда скрипт запущен - файл УЖЕ закачан на сервак.

он закачан в куда-то в /tmp, и сдохнет после завершения скрипта ...
В общем с известной натяжкой "кодом закачки на сервак" можно считать move_uploaded_file.

Добавлено 26.01.07, 09:58
sanweb, подробнее.
print_r($_FILES); хотя б глянь...

sanweb	Сообщ. #4 , 26.01.07, 10:02
Profi Профиль · PM Рейтинг (т): 6	он в темп закачан!!!! да какая разница какой код! мне нужно чтобы код обрабатывался при соблюдении условий! if($_FILES[file][type]=="gif"\|\|$_FILES[file][type]=="png"\|\|$_FILES[file][type]=="jpg") заменю на getimagesize

Рысь

Сообщ. #5 , 26.01.07, 10:08

aka Волченка

Профиль · PM

Поощрения: 3 Dgm

Рейтинг (т): 60

sanweb, с тебя следующее:
- вывод ошибок/варнингов, если есть
- вывод функции print_r($_FILES)
- кавычки в индексах массива
тогда будем говорить дальше.

И внимательное курение http://www.php.net/manual/ru/features.file-upload.php ибо там все написано!!!

Сообщение отредактировано: Рысь - 26.01.07, 10:11

Pr0[)!9Y

Сообщ. #6 , 26.01.07, 10:11

Master

Профиль · PM

Поощрения: 7 Dgm

Рейтинг (т): 231

Цитата sanweb @ 26.01.07, 10:02

$_FILES[file][type]=="jpg"

Цитата

$_FILES['userfile']['type']
Mime-тип файла, в случае, если браузер предоставил такую информацию. Пример: "image/gif".

Добавлено 26.01.07, 10:18

Цитата Pr0[)!9Y @ 26.01.07, 10:11

если браузер предоставил такую информацию

Так что неплохо бы самому отрезать расширение и проверять.

Цитата sanweb @ 26.01.07, 08:48

if($_FILES[file][size]<102400 AND ($_FILES[file][type]=="gif"||$_FILES[file][type]=="png"||$_FILES[file][type]=="jpg"))
{
//код закачки на сервак
}

Заче вложенность плодить для такой задачи? Разница то небольшая, но так удобнее

Добавлено 26.01.07, 10:31
http://php.net/pathinfo

Добавлено 26.01.07, 10:33
Еще вариант:

preg_match('/.(gif|png|jpg|jpeg)/i',$_FILES['userfile']['name'])

Сообщение отредактировано: Pr0[)!9Y - 26.01.07, 10:34

sanweb	Сообщ. #7 , 26.01.07, 10:44
Profi Профиль · PM Рейтинг (т): 6	сменя закрытие темы все получилось гетимыджсайзом! всем спасибо! а в ифе при проверке типа я писал image/jpg это я для краткости написал только расширение Сообщение отредактировано: sanweb - 26.01.07, 10:45

Pr0[)!9Y	Сообщ. #8 , 26.01.07, 10:58
Master Профиль · PM Поощрения: 7 Dgm Рейтинг (т): 231	Это как? Если размер определился то картинка иначе нет, так чтоли? Изврат.

sanweb	Сообщ. #9 , 26.01.07, 13:05
Profi Профиль · PM Рейтинг (т): 6	размер определяю как и раньше а тип гетимжсайзом!

SiMM	Сообщ. #10 , 26.01.07, 13:27
Master Профиль · PM Поощрения: 1 Dgm Рейтинг (т): 177	Расширение всё равно проверять надо. Если файл доступен по HTTP и лежит в папке, где отрабатываются PHP-скрипты. Добавлено 26.01.07, 13:28 Либо менять его принудительно.

Pr0[)!9Y

Сообщ. #11 , 26.01.07, 13:30

Master

Профиль · PM

Поощрения: 7 Dgm

Рейтинг (т): 231

Цитата

...и форматы отличные от gif, png, jpg на сервер не закачивались...
The getimagesize() function will determine the size of any GIF, JPG, PNG, SWF, SWC, PSD, TIFF, BMP, IFF, JP2, JPX, JB2, JPC, XBM, or WBMP...

Нестыковочка
Такая проверка извращение по-моему, зная заведомо что это не картинка прогонять ее через такую обработку...нехорошо.
Вроде как она для этого не предназначена :blink:

Добавлено 26.01.07, 13:40

Цитата SiMM @ 26.01.07, 13:27

Расширение всё равно проверять надо. Если файл доступен по HTTP и лежит в папке, где отрабатываются PHP-скрипты.

Хм, не поверил - решил проверить.
И действительно! Дописываем в гиф файл пхп код, переименовываем в .php и о чудо! Он прекрасно исполняется и проходит проверку с помощью getimagesize. Вот и уязвимость...

Сообщение отредактировано: Pr0[)!9Y - 26.01.07, 13:40

sanweb

Сообщ. #12 , 26.01.07, 14:19

Profi

Профиль · PM

Рейтинг (т): 6

ну вопервых проверку проходят только картинки
вовторых форма лежит в админке
в третих это форма выбора файла для аттача в емайл

в четвертых я никогда не сохранял бы такие картинки в одной папке с пхп скриптами
котлеты отдельно мухи отдельно!

PS: а каким образом в гиф файл дописать пхп код?

тоесть открываеш гиф в блокноте дописываеш пхп код переименовываеш в пхп
и скрипт это воспринимает как рисунок да еще и исполняет? крутооооооо.....

тааак
а какие еще баги в пхп есть? :ph34r:

Сообщение отредактировано: sanweb - 26.01.07, 14:24

Pr0[)!9Y

Сообщ. #13 , 26.01.07, 14:24

Master

Профиль · PM

Поощрения: 7 Dgm

Рейтинг (т): 231

Цитата sanweb @ 26.01.07, 14:19

ну вопервых проверку проходят только картинки

Ты никогда не знаешь что закачает пользователь! (он по определению хакер)

Цитата sanweb @ 26.01.07, 14:19

вовторых форма лежит в админке

Как только хакер попал в админку, он ищет чего бы такого сотворить (выполнить произвольный код)

Цитата sanweb @ 26.01.07, 14:19

в четвертых я никогда не сохранял бы такие картинки в одной папке с пхп скриптами

А ты их сохраняешь куда? В папку (например images), и почему то я уверен что в этой папке наверняка скрипты тоже имеют право исполнятся

Цитата sanweb @ 26.01.07, 14:19

PS: а каким образом в гиф файл дописать пхп код?

По секрету и только тебе

notepad

sanweb

Сообщ. #14 , 26.01.07, 14:31

Profi

Профиль · PM

Рейтинг (т): 6

и как сделать чтобы скрипт закачки такие видоизмененные файлы не исполнял?

закачивать их в папку где скрипты не имеют право на исполнение или как?
этож тогда можно ломануть любой сайт где есть форма закачки! а эта фигня только с гифами?
с какими графическими расширениями такое еще моно проделать?

Pr0[)!9Y

Сообщ. #15 , 26.01.07, 14:34

Master

Профиль · PM

Поощрения: 7 Dgm

Рейтинг (т): 231

Цитата sanweb @ 26.01.07, 14:19

а какие еще баги в пхп есть?

Была тут тема разок, но ее благополучно забили >:(

2Moders:
Может создадим топик с багами идырами распросраненными? И не будем пинать мол в нете много материала? И все это ламерство и гуру все знают. Для новичков и то полезно будет.

Добавлено 26.01.07, 14:39

Цитата sanweb @ 26.01.07, 14:31

с какими графическими расширениями такое еще моно проделать?

Предполагаю что с любыми, потому что чаще всего информация о изображении сосредоточена в начале и функция не смотрит на окончание файла.

Цитата sanweb @ 26.01.07, 14:31

этож тогда можно ломануть любой сайт где есть форма закачки! а эта фигня только с гифами?

Навряд ли, потому что вряд ли на многих сайтах есть такая некорректная (имхо) проверка.

Цитата sanweb @ 26.01.07, 14:31

и как сделать чтобы скрипт закачки такие видоизмененные файлы не исполнял?

Проверять расширение самостоятельно

preg_match('/.(gif|png|jpg|jpeg)/i',$_FILES['userfile']['name'])

pathinfo()

Сообщение отредактировано: Рысь - 26.01.07, 14:42

0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)

0 пользователей:

Страницы: (2) [1] 2 все

[ Script execution time: 0,0460 ] [ 15 queries used ] [ Generated: 27.07.24, 03:34 GMT ]