Действительно ли картинка?

[Stadnitski Alex]

Действительно ли картинка?

Простите за глупый вопрос, но буду рад если кто-то мне поможет. Задача такова: проверить, действительно ли загружаемая пользователем картинка (аватар) является нормальным файлом изображения, то есть файл не испорчен.
Спасибо.

 

[Tor]

поиск по форуму по словам "загрузка картинки"

 

[Stadnitski Alex]

Автор оригинала: Tor
поиск по форуму по словам "загрузка картинки"

Вот беда, не нашел там ответа ни интересующий меня вопрос. Меня интересует как ПРОВЕРИТЬ а не как ЗАГРУЗИТЬ. Подскажите пожалуйста.
Спасибо

 

[Фанат]

Вот беда, не нашел там ответа

Это, как бы, твоя проблема, а не наша =)

 

[ayrat9]

если без загрузки, тогда тебе в форум РНР + Яваскрипт

 

[Фанат]

ayrat9, твои советы просто поражают глубокомыслием

 

[SelenIT]

http://www.php.net/manual/ru/features.file-upload.php
[m]getimagesize[/m] (проверка на соответствие ширины и высоты допустимым пределам - для "неправильных" файлов обычно получаются неправдоподобно большие значения)

 

[Stadnitski Alex]

Автор оригинала: ayrat9
если без загрузки, тогда тебе в форум РНР + Яваскрипт

Грузить картинки на сервер я умею, но не знаю как проверить правильная ли она. Я просто хочу поправить ону фигню в IPB. Если я открою аватар в редакторе, допишу туда несколько строк php-кода, сохраню и загружу аватар в IPB, то он даже не отреагирует на то что это испорченый файл. Таким образом очень часто ломают сайты. Вот я и захотел залепить эту дыру.
Помогите, плиз.
Спасибо.

 

[ayrat9]

спасибо (краснея..)

 

[Фанат]

Если я открою аватар в редакторе, допишу туда несколько строк php-кода, сохраню и загружу аватар в IPB, то он даже не отреагирует на то что это испорченый файл.

и что - расширение остаётся у картинки прежним? И прямо так и ломают?

 

[ayrat9]

$_FILES['filename']['type'] - проверяй
имей в виду, что ИЕ вместо image/jpeg использует image/pjpeg

 

[Stadnitski Alex]

ayrat9, спасибо

Если интересно как ломают, вот ссылка на видео
http://zadoxlik.net.ru/downloads/hack-info.rar
Правда там движок ужасный, но все же дыру в форуме надо заклеить.

 

[SiMM]

> Задача такова: проверить, действительно ли загружаемая пользователем картинка (аватар) является нормальным файлом изображения, то есть файл не испорчен.

Никак. В любом случае, PHP к этому не имеет никакого отношения.

 

[Stadnitski Alex]

Автор оригинала: SiMM
> Задача такова: проверить, действительно ли загружаемая пользователем картинка (аватар) является нормальным файлом изображения, то есть файл не испорчен.

Никак. В любом случае, PHP к этому не имеет никакого отношения.

Но на других сайтах(36k.ru, album.ee), есть такая проверка, специально пробовал.
Посмотрите выдео и вы точно поймете проблему

 

[SiMM]

> Но на других сайтах(36k.ru, album.ee), есть такая проверка, специально пробовал.

Так почему бы тебе не спросить у админов тех других сайтов, как они это реализовали, и не опубликовать этот метод здесь, дабы мы смогли подвергнуть его критике либо поразиться глубине решения?

> Посмотрите выдео и вы точно поймете проблему
Какое ещё нафиг видео? И почему мы его должны смотреть? Может ты всё же сам попробуешь описать так, чтобы мы поняли, раз уж ты по какой-то неведомой причине думаешь, что непонят

 

[Stadnitski Alex]

Автор оригинала: SiMM
> Посмотрите выдео и вы точно поймете проблему
Какое ещё нафиг видео? И почему мы его должны смотреть? Может ты всё же сам попробуешь описать так, чтобы мы поняли, раз уж ты по какой-то неведомой причине думаешь, что непонят

На видео показано как некий Задохлик дефейсил сайт hack-info.net. Движок сайта построен очень дряным способом. Есть файл index.php, который принимает в качестве параметра название файла, который он будет инклудить.
Например:
http://www.hack-info.net/?vasia.php
Теперь как его подефейсили.
На форуме загрузили аватар, в котором дописали php-код и вызвали его:
http://www.hack-info.net/?forum/uplodes/av-5.gif
Вот и вся математика.

 

[rotoZOOM]

Stadnitski Alex а обязательно позволять Apache'у выполнять gif'ы как php код ?

 

[SelenIT]

rotoZOOM

...файла, который он будет инклудить

Stadnitski Alex
может, просто не позволять инклюдить что-либо из папок, куда скрипты могут что-либо закачивать?

 

[Stadnitski Alex]

Автор оригинала: rotoZOOM
Stadnitski Alex а обязательно позволять Apache'у выполнять gif'ы как php код ?

Гифы не виполняются как php-код.
Там картинка инклудится в index.php. Поэтому и выполняется. Это во первых, а во вторых разве не лучше устранить и эту дыру в форуме?

 

[SiMM]

> разве не лучше устранить и эту дыру в форуме?
Разве не лучше устранить эту дыру так, как следует, не допуская исполнения загружаемых пользователем файлов, а не искать пути через жо... ой, простите, заднее кирильцо?