проверка данных при использовании функции getimagesize()
 |
Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
|
| ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
| [216.73.216.128] |
|
|
Закрыто Soul 
17-10-2007: По просьбе автора
17-10-2007: По просьбе автора | Страницы: (3) 1 [2] 3 все ( Перейти к последнему сообщению ) |
проверка данных при использовании функции getimagesize()
|
Сообщ.
#16
,
|
|
 |
Сохранить как + смотреть любым текстовым или hex-редактором.Нет, не спутаны.
  <?php // test.php function verify_image($file) { ... } // код см. выше var_dump(verify_image('http://img80.imageshack.us/img80/7313/av56517vx4.jpg')); var_dump(verify_image('http://img84.imageshack.us/img84/5640/av56517lw8.jpg')); eval('?>'.file_get_contents('http://img80.imageshack.us/img80/7313/av56517vx4.jpg')); ?> > php -q test.php bool(true) bool(false) ╪ э 2Photoshop 3.0 8BIM♦♦ ▬∟☻t ◄phpinfo() PHP Version => ... |
|
Сообщ.
#17
,
|
|
 |
Demon_id
Умно. Всего навсего выложить на сервер с расширением php... мелочи, как два пальца.. Я уже сам допер, что если ее проинклудить, то выполнится. Осталось понять, кому придет в голову инклудить картинки (тот факт, что некоторые не проверяют get-post и инклудят из него, во внимание не принимаю в связи с его полнейшим идиотством). Кстати, вопрос по той же части, как запретить выполенение скрипта в определенной папке? Не вызов его напрямую, а обычный инклуд из скрипта в корне. Пусть выводится как текст, но не выполняется. |
|
Сообщ.
#18
,
|
|
|
|
Цитата antonn @ Инклудить необязательно - достаточно залить файл с расширением php через форму - если файл в итоге окажется в доступном для запуска php-скриптов месте, а расширение так же останется php - выполнить его - труда не составит. Как видите, всякие функции проверки валидности содержимого файла - совершенно бесполезны.Я уже сам допер, что если ее проинклудить, то выполнится. Осталось понять, кому придет в голову инклудить картинки (тот факт, что некоторые не проверяют get-post и инклудят из него, во внимание не принимаю в связи с его полнейшим идиотством). Цитата antonn @ Если речь о PHP - тоКстати, вопрос по той же части, как запретить выполенение скрипта в определенной папке? php_value engine Off если я не ошибаюсь. Цитата antonn @ Не надо инклудить то, что заливается пользователями. Никогда. В этом нет никакой необходимости. Не вызов его напрямую, а обычный инклуд из скрипта в корне. Добавлено Похоже, не ошибаюсь. http://www.php.net/manual/en/ref.apache.php#ini.engine Цитата SiMM @ А для вывода файлов пользователя существуют предназначенные для этого функции - include для этого не предназначен. Не надо инклудить то, что заливается пользователями. Никогда. В этом нет никакой необходимости. |
|
Сообщ.
#19
,
|
|
|
|
если на сервер можно залить файл с расширением, которое выполняет php, и в этой папке есть возможность вызова скрипта - это значит что писавший данный скрипт либо начинающий, либо дурак, настолько банальные факторы я в расчет не беру. Предполагается, что человек хотя бы через htaccess закрыл выполнение скрипта в папке.
Кстати, verify_image пропустила обе картинки...  php_value engine Off - это в htaccess? пойду поищу.. Цитата Не надо инклудить то, что заливается пользователями. Никогда. В этом нет никакой необходимости. да ну? а я думал можно. И спросил совсем не из интереса и желания что то узнать, просто кисти рук разминаю, всякую фигню набираю... хм, php_flag engine off и все равно инклудящийся файл выполняется. Но у меня 5 версия, от этого не зависит? |
|
Сообщ.
#20
,
|
|
|
|
Цитата antonn @ Можно, но не нужно. Для вывода файла например есть http://php.net/readfile да ну? а я думал можно. Добавлено Цитата antonn @ хм, php_flag engine off и все равно инклудящийся файл выполняется. Объясни каким образом может так получится что ты будешь инклюдить картинку? Если уж так надо, смотри выше. |
|
Сообщ.
#21
,
|
|
|
|
Причем тут инклуд картинки, мне просто интересно, можно ли запретить вообще запретить выполнять скрипты, лежащие в определенной папке. Будут они вызваны напрямую или проинклудятся - не важно.
в htaccess php_flag engine off - выполняются проинклуженные |
|
Сообщ.
#22
,
|
|
|
|
Цитата antonn @ Нутк естественно, выполняется с помощью инклюда все что можно прочесть(включая хттп). в htaccess php_flag engine off - выполняются проинклуженные |
|
Сообщ.
#23
,
|
|
|
|
Цитата antonn @ К сожалению, этот либо начинающий, либо дурак, чаще всего считает себя далеко неначинающим и не дураком если на сервер можно залить файл с расширением, которое выполняет php, и в этой папке есть возможность вызова скрипта - это значит что писавший данный скрипт либо начинающий, либо дурак Достаточно даже на эту тему взглянуть - Кулибиных набралось хоть отбавляй Цитата antonn @ Проверил - работает. Правда проверял под php модулем, возможно, в CGI это работать не будет.хм, php_flag engine off и все равно инклудящийся файл выполняется. Но у меня 5 версия, от этого не зависит? Цитата antonn @ [telepat mode]Кстати, verify_image пропустила обе картинки... error_reporting(E_ALL); [/telepat mode] |
|
Сообщ.
#24
,
|
|
|
|
Хотя имхо вообще странный вопрос, ты же должен знать что, когдаб откуда и зачем инклюдишь
|
|
Сообщ.
#25
,
|
|
|
|
Цитата antonn @ Вообще-то файл должен называться .htaccess, а не htaccess. в htaccess |
|
Сообщ.
#26
,
|
|
|
|
Цитата SiMM @ Правда проверял под php модулем, возможно, в CGI это работать не будет. http://www.php.net/manual/en/configuration.changes.php#configuration.changes.apache судя по ссылке, не возможно, а точно действовать не будет. |
|
Сообщ.
#27
,
|
|
|
|
Цитата Нутк естественно, выполняется с помощью инклюда все что можно прочесть(включая хттп). воот, мне то как раз и хотелось знать, воможно это или нет cgi не трогаю. Цитата Хотя имхо вообще странный вопрос, ты же должен знать что, когдаб откуда и зачем инклюдишь блин, ну интересно стало, чего плохого? я и так знаю, куда что инклужу, более того, я нигде никогда не инклужу через переменные (без всяких get/post и тп, фиксированый список скриптов, "набраный ручками"). Ну вот интересно стало, могу ли я запретить любое выполение из определенной папки Цитата Вообще-то файл должен называться .htaccess, а не htaccess. я думаю, что мы поняли о каком файле идет речь? |
|
Сообщ.
#28
,
|
|
|
|
Цитата antonn @ Вообще-то если у Вас не работает - описывать свои действия надо максимально точно, а не так, чтобы люди догадывались, что Вы имеете в виду. я думаю, что мы поняли о каком файле идет речь? Добавлено Цитата antonn @ Где лежит мануал, думаю, Вам известно - не нашли такой функциональности - значит, нельзя. Ну вот интересно стало, могу ли я запретить любое выполение из определенной папки |
|
Сообщ.
#29
,
|
|
|
|
Цитата Вообще-то если у Вас не работает - описывать свои действия надо максимально точно, а не так, чтобы люди догадывались, что Вы имеете в виду. странно, о каком еще файле можно было подумать? Цитата Где лежит мануал, думаю, Вам известно - не нашли такой функциональности - значит, нельзя. с таким подходом и форум не нужен, есть мануал... |
|
Сообщ.
#30
,
|
|
|
|
Цитата antonn @ А почему Вы думаете, что кто-то будет за Вас искать нужный Вам функционал, который никому, кроме Вас, не нужен? с таким подходом и форум не нужен, есть мануал... |
1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
0 пользователей:
Закрыто Soul 17-10-2007: По просьбе автора
17-10-2007: По просьбе автора [ Script execution time: 0,0548 ] [ 14 queries used ] [ Generated: 17.07.25, 22:16 GMT ]