Безопасность закачки

[Ms]

Безопасность закачки

Планирую разрешиььб закачку файлов на ftp через форму, но php скрипт должен отсеивать ТОЛЬКО ИЗОБРАЖЕНИЯ(.gif, .png, .jpg) от всех других изображений.

Я сделал так:
$HTTP_POST_FILES['userfile']['type']=='image/gif', тогда, закчка идёт.

Безопасно ли это?
Можно ли подделать $HTTP_POST_FILES['userfile']['type']?
Как можно ещё защититься от закачки скриптов?

 

[IBSN]

запретить выполнение скриптов на сервере

 

[Ms]

ок, а возможны скрипты отличные от php?
возможно ли их запретить?

 

[Фанат]

[m]geimagesize[/m] например

 

[Ms]

а его можно обмануть?

 

[Фанат]

не знаю.
Думаю, что можно.
Знаешь, что не обманешь?
imagecreatefrom*!
Если это валидная картинка, он выполнится!

 

[fixxxer]

Гораздо проще проверять допустимость расширения.
Что толку от скрипта, если у него расширение .gif?

 

[Stefix]

Автор оригинала: Ms
ок, а возможны скрипты отличные от php?
возможно ли их запретить?

Скрипты на других языках возможны, но если сервер на юниксе то в типичном случае они должны находиться только в cgi-bin(или его аналоге) и то будут выполняться только если будут иметь право на выполнение. Поэтому гораздо важнее не допустить файл с php в каталог сайта. Все остальные файлы опасности не представляют (разве что захламление), но проверить расширение все-равно стоит.
Кроме того, стоит не забывать что например у jpg файлов есть еще одно расширение jpeg.

 

[neko]

fixxxer
попробуй в картинку js напихать и открыть в ie ;-)

 

[Stefix]

Автор оригинала: neko
fixxxer
попробуй в картинку js напихать и открыть в ie ;-)

И что будет - квадратик? Или там уязвимость уже такая есть?