Меню
Что нового?

Безопасность при разрешение пользователю вставлять картинки в галлерею

saf

Guest
Безопасность при разрешение пользователю вставлять картинки в галлерею

Можно ли замаскировать php-код под jpg файл. И есле например пользователь имеет права вставлять картинки .возможно ли это?
 

Vital_N

Новичок
Re: Безопасность при разрешение пользователю вставлять картинки в галлерею

Автор оригинала: saf
Можно ли замаскировать php-код под jpg файл. И есле например пользователь имеет права вставлять картинки .возможно ли это?
Нажмите для раскрытия...
ты имеешь в виду: может ли пользователь сохранить php как .jpg и сделать аплоад к тебе на сервер под видом картинки?
 

ssv

Новичок
Re: Безопасность при разрешение пользователю вставлять картинки в галлерею

Автор оригинала: saf
Можно ли замаскировать php-код под jpg файл. И есле например пользователь имеет права вставлять картинки .возможно ли это?
Нажмите для раскрытия...
замаскировать и залить - можно,
но толку - мало, он не выполнится,
если ты не пропишишь в apache( IIS, и т.д) компилировать файлы с расширением .jpg. .gif пхп компилятором - php.exe
 

SiMM

Новичок
> если ты не пропишишь в apache( IIS, и т.д) компилировать файлы с расширением .jpg. .gif пхп компилятором
Может он не проверяет расширение и разрешает сохранять файлы с любыми расширениями, не изменяя его? ;)
Тогда - запросто. Конечно если пользователь в состоянии подобрать то расширение, которое обработается тем или иным скриптовым интерпретатором.
 

Нечто

Психолог РНРClub
Думаю, имеется ввиду это:
http://www.securitylab.ru/52234.html

Короче, "варез, взлом и кража контента..."
 

saf

Guest
Re: Re: Безопасность при разрешение пользователю вставлять картинки в галлерею

Автор оригинала: Vital_N
ты имеешь в виду: может ли пользователь сохранить php как .jpg и сделать аплоад к тебе на сервер под видом картинки?
Нажмите для раскрытия...
да именно это я имею ввиду
 

Cid

...двинутый новичок
Можно проверить тип файла через [m]exif_imagetype[/m] или даже [m]getimagesize[/m] (исправил)
 

SiMM

Новичок
Cid, во-первых, [m]getimagesize[/m], а во-вторых
PHP: 
GIF<?var_dump(getimagesize(__FILE__))?>
далеко не картинка. И, думаю, не надо быть семи пядей во-лбу, чтобы при случае воспользоваться. Если расширение не проверяется на интерпретируемость этого файла сервером.
 
Войдите или зарегистрируйтесь для ответа.
Сверху