Форум на Исходниках.RU https://forum.sources.ru Форум на Исходниках.RU Форум на Исходниках.RU https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1431729 Mon, 29 Jan 2007 09:37:58 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1431729 все нормально :D]]> sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1431674 Mon, 29 Jan 2007 09:07:33 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1431674 Цитата sanweb @
PS: сделал бы изначально скрипт обработки формы с проверкой расширения файла то дебатов по поводу некорректного использования функции не былобы!
Сделал бы, а чего плохого в дебатах?]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1431495 Mon, 29 Jan 2007 07:04:25 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1431495 Если бы форма делалась для пользователя, то в скрипте конечно же делалась бы проверка расширения файла

PS: сделал бы изначально скрипт обработки формы с проверкой расширения файла то дебатов по поводу некорректного использования функции не былобы!
>:(]]> sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429541 Fri, 26 Jan 2007 19:48:59 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429541 SiMM PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429538 Fri, 26 Jan 2007 19:46:14 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429538 Цитата SiMM @
Садись, два

И правда, недопечатал)
Цитата SiMM @
preg_match('/.(gif|png|jpg|jpeg)$/i',$_FILES['userfile']['name'])
]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429534 Fri, 26 Jan 2007 19:39:51 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429534 Цитата sanweb @
а каким образом в гиф файл дописать пхп код?
    GIF89<?print_r(getimagesize(__FILE__))?>
Цитата sanweb @
а какие еще баги в пхп есть?
А при чём здесь PHP?
Цитата Pr0[)!9Y @
preg_match('/.(gif|png|jpg|jpeg)/i',$_FILES['userfile']['name'])
Садись, два :)
    $_FILES['userfile']['name'] = 'mysuperpng.php';
]]> SiMM PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429237 Fri, 26 Jan 2007 14:34:08 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429237 Цитата sanweb @
а какие еще баги в пхп есть?

Была тут тема разок, но ее благополучно забили >:(

2Moders:
Может создадим топик с багами идырами распросраненными? И не будем пинать мол в нете много материала? И все это ламерство и гуру все знают. Для новичков и то полезно будет.

Добавлено
Цитата sanweb @
с какими графическими расширениями такое еще моно проделать?
Предполагаю что с любыми, потому что чаще всего информация о изображении сосредоточена в начале и функция не смотрит на окончание файла.
Цитата sanweb @
этож тогда можно ломануть любой сайт где есть форма закачки! а эта фигня только с гифами?

Навряд ли, потому что вряд ли на многих сайтах есть такая некорректная (имхо) проверка.

Цитата sanweb @
и как сделать чтобы скрипт закачки такие видоизмененные файлы не исполнял?

Проверять расширение самостоятельно

    preg_match('/.(gif|png|jpg|jpeg)/i',$_FILES['userfile']['name'])

pathinfo()]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429233 Fri, 26 Jan 2007 14:31:22 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429233
закачивать их в папку где скрипты не имеют право на исполнение или как?
этож тогда можно ломануть любой сайт где есть форма закачки! а эта фигня только с гифами?
с какими графическими расширениями такое еще моно проделать?]]> sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429224 Fri, 26 Jan 2007 14:24:08 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429224 Цитата sanweb @
ну вопервых проверку проходят только картинки
Ты никогда не знаешь что закачает пользователь! (он по определению хакер)
Цитата sanweb @
вовторых форма лежит в админке
Как только хакер попал в админку, он ищет чего бы такого сотворить (выполнить произвольный код)
Цитата sanweb @
в четвертых я никогда не сохранял бы такие картинки в одной папке с пхп скриптами
А ты их сохраняешь куда? В папку (например images), и почему то я уверен что в этой папке наверняка скрипты тоже имеют право исполнятся ;)
Цитата sanweb @
PS: а каким образом в гиф файл дописать пхп код?
По секрету и только тебе :D
    notepad
]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429214 Fri, 26 Jan 2007 14:19:21 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429214 вовторых форма лежит в админке
в третих это форма выбора файла для аттача в емайл

в четвертых я никогда не сохранял бы такие картинки в одной папке с пхп скриптами
котлеты отдельно мухи отдельно!

PS: а каким образом в гиф файл дописать пхп код?

тоесть открываеш гиф в блокноте дописываеш пхп код переименовываеш в пхп
и скрипт это воспринимает как рисунок да еще и исполняет? крутооооооо.....

тааак
а какие еще баги в пхп есть? :ph34r:]]> sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429138 Fri, 26 Jan 2007 13:30:32 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429138 Цитата
...и форматы отличные от gif, png, jpg на сервер не закачивались...
The getimagesize() function will determine the size of any GIF, JPG, PNG, SWF, SWC, PSD, TIFF, BMP, IFF, JP2, JPX, JB2, JPC, XBM, or WBMP...
Нестыковочка
Такая проверка извращение по-моему, зная заведомо что это не картинка прогонять ее через такую обработку...нехорошо.
Вроде как она для этого не предназначена :blink:

Добавлено
Цитата SiMM @
Расширение всё равно проверять надо. Если файл доступен по HTTP и лежит в папке, где отрабатываются PHP-скрипты.
Хм, не поверил - решил проверить.
И действительно! Дописываем в гиф файл пхп код, переименовываем в .php и о чудо! Он прекрасно исполняется и проходит проверку с помощью getimagesize. Вот и уязвимость...]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429134 Fri, 26 Jan 2007 13:27:56 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429134
Добавлено
Либо менять его принудительно.]]> SiMM PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429094 Fri, 26 Jan 2007 13:05:31 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1429094 sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428883 Fri, 26 Jan 2007 10:58:27 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428883 Изврат.]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428858 Fri, 26 Jan 2007 10:44:16 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428858 все получилось гетимыджсайзом!
всем спасибо! :D

а в ифе при проверке типа я писал image/jpg
это я для краткости написал только расширение]]> sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428808 Fri, 26 Jan 2007 10:11:55 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428808 Цитата sanweb @
$_FILES[file][type]=="jpg"

:D
Цитата
$_FILES['userfile']['type']
Mime-тип файла, в случае, если браузер предоставил такую информацию. Пример: "image/gif".

Добавлено
Цитата Pr0[)!9Y @
если браузер предоставил такую информацию

Так что неплохо бы самому отрезать расширение и проверять.
Цитата sanweb @
if($_FILES[file][size]<102400 AND ($_FILES[file][type]=="gif"||$_FILES[file][type]=="png"||$_FILES[file][type]=="jpg"))
{
//код закачки на сервак
}
Заче вложенность плодить для такой задачи? Разница то небольшая, но так удобнее

Добавлено
http://php.net/pathinfo

Добавлено
Еще вариант:
    preg_match('/.(gif|png|jpg|jpeg)/i',$_FILES['userfile']['name'])
]]> Pr0[)!9Y PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428803 Fri, 26 Jan 2007 10:08:53 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428803 sanweb, с тебя следующее:
- вывод ошибок/варнингов, если есть
- вывод функции print_r($_FILES)
- кавычки в индексах массива
тогда будем говорить дальше.

M
И внимательное курение http://www.php.net/manual/ru/features.file-upload.php ибо там все написано!!!
]]> Рысь PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428794 Fri, 26 Jan 2007 10:02:16 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428794 да какая разница какой код!
мне нужно чтобы код обрабатывался при соблюдении условий!

if($_FILES[file][type]=="gif"||$_FILES[file][type]=="png"||$_FILES[file][type]=="jpg")
заменю на getimagesize]]> sanweb PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428788 Fri, 26 Jan 2007 09:57:07 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428788 Цитата SiMM @
К тому времени, когда скрипт запущен - файл УЖЕ закачан на сервак.
он закачан в куда-то в /tmp, и сдохнет после завершения скрипта ...
В общем с известной натяжкой "кодом закачки на сервак" можно считать move_uploaded_file.

Добавлено
sanweb, подробнее.
print_r($_FILES); хотя б глянь...]]> Рысь PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428784 Fri, 26 Jan 2007 09:52:44 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428784 Цитата sanweb @
вот этот вот код при файле 30кб jpg не работатет

http://phpfaq.ru/debug
http://php.net/getimagesize

Добавлено
Цитата sanweb @
//код закачки на сервак
Садись, два. К тому времени, когда скрипт запущен - файл УЖЕ закачан на сервак.]]> SiMM PHP https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428685 Fri, 26 Jan 2007 08:48:12 +0000 прверка рисунка на вшивость https://forum.sources.ru/index.php?showtopic=169289&view=findpost&p=1428685
    if($_FILES[file][size]<102400)
    {
    if($_FILES[file][type]=="gif"||$_FILES[file][type]=="png"||$_FILES[file][type]=="jpg")
    {
    //код закачки на сервак
    }
    }


вот этот вот код при файле 30кб jpg не работатет :wall:]]> sanweb PHP