Меню
Что нового?

Действительно ли картинка?

Статус
В этой теме нельзя размещать новые ответы.
rotoZOOM

rotoZOOM

ACM maniac
сорри ... невнимательность ...
это значит просто такой мммм. не совсем качественный движок, как ты и сказал, и причем тут проверка картинок ?
Если ты собираешься выводить картинку, как картинку и не позволять ее инклудить всяким интрудерам, то максимум кто пострадает - это клиент, который увидит вместо изображения всякую чушь.
 

SiMM

Новичок
SelenIT
> проверка на соответствие ширины и высоты допустимым пределам - для "неправильных" файлов обычно получаются неправдоподобно большие значения

Неправильный файл можно сформировать так, что он будет содержать php-код, и даже показываться ACDSee или любым другим вьювером как правильная картинка. При этом вовсе необязательно, что изображение будет осмысленным. Другое дело - на это надо потратить побольше времени, чем на банальное
PHP: 
GIF<?print_r(getimagesize(__FILE__))?>
Вы же не будете предлагать писать на PHP систему распознавания образов? ;)
 

Stadnitski Alex

Новичок
Автор оригинала: rotoZOOM
Если ты собираешься выводить картинку, как картинку и не позволять ее инклудить всяким интрудерам, то максимум кто пострадает - это клиент, который увидит вместо изображения всякую чушь.
Нажмите для раскрытия...
Почему должен страдать клиент? И если есть дырка в безопасности, то ее нужно убрать.
 

Stadnitski Alex

Новичок
Вопрос: А php может инклудить и выполнять бынарные файлы? Если нет, то загруженный аватар - не бинарный файл. Нужно это проверить... но как...
 

SiMM

Новичок
Stadnitski Alex, хватит устраивать комедию.

> А php может инклудить и выполнять бынарные файлы?
PHP выполняет всё, что заключено между тэгами <? ?>
Если, конечно, этот файл будет обрабатываться PHP.
И вообще, все файлы - бинарны по своей сути.
 
rotoZOOM

rotoZOOM

ACM maniac
Stadnitski Alex "бынарные" файлы php не выполняет, это же интерпретатор. А у тебя есть предложение как 100% отличить бинарный файл от текстового ?
 

SiMM

Новичок
Stadnitski Alex, можно вопрос? Нафига ты пришёл со своим вопросом на этот форум, если ты и так слишком умный? Тебе уже давно дали ответ - ты не должен исполнять того, что пришло от пользователя - так ведь нет, надо искать пути через жо... Так вот, там их нет. Вообще. Впрочем помайся дурью ещё годик-другой - может сам до этого дойдёшь.
 

Stadnitski Alex

Новичок
SiMM
...можно вопрос? Нафига ты пришёл со своим вопросом на этот форум, если ты и так слишком умный? Тебе уже давно дали ответ - ты не должен исполнять того, что пришло от пользователя - так ведь нет, надо искать пути через жо... Так вот, там их нет. Вообще. Впрочем помайся дурью ещё годик-другой - может сам до этого дойдёшь.
Нажмите для раскрытия...
А вот тебе не интересно знать как делать такую проверку? Она тебе самому может когода-то понадобится, а ты не бужешь знать как это сделать. Ведь другие это сделали. Допустим тебе придется писать галлерею. Ну ты напишешь ее, а там будут грузится хреновые картинки. Непорядок. Вообще, эта тема достаточно важна, вот только никто не может ответить навопрос.
 
rotoZOOM

rotoZOOM

ACM maniac
Stadnitski Alex для начала четко определись с понятием "хреновые картинки"
 
Фанат

Фанат

oncle terrible
Команда форума
никто.
поищи стопроцентный ответ в другом месте.
тебе здесь мёдом намазано, что ли?
 

SiMM

Новичок
> А вот тебе не интересно знать как делать такую проверку?
Задачи искусственного интеллекта мне ещё не по зубам. И врядли будут в обозримом будущем.

> Она тебе самому может когода-то понадобится, а ты не бужешь знать как это сделать.
Потому что эта задача не имеет решения в той формулировке, которой ты поставил, без участия пользователя. Распознавание образов на php не напишешь.

> Ведь другие это сделали.
Откуда такие выводы? Другие не парятся, и просто проверяют расширение файла, и не делают таких дыр, как include пользовательских файлов.

> Ну ты напишешь ее, а там будут грузится хреновые картинки.
Как уже было выше сказано - это будет проблемой пользователя, а не сервера.

> Вообще, эта тема достаточно важна, вот только никто не может ответить навопрос.
И не ответит.
 

Stadnitski Alex

Новичок
SiMM
Откуда такие выводы? Другие не парятся, и просто проверяют расширение файла, и не делают таких дыр, как include пользовательских файлов.
Нажмите для раскрытия...
Зайди, например на 36k.ru Если грузить испорченый файл, то получишь сообщение, что файл неправильного формата или поврежден. И никакого распознования образов там нет. Значит есть способ такой проверки.
Если тебе он неивестный, то это не значит что его нет. Мне например интересно как там постоена проверка, но узнать этого я не смогу, и я попросил совета на форуме. А мне здесь говорят, что так не бывает. Бывает.
 

SiMM

Новичок
> Зайди, например на 36k.ru
Почему я должен где-то регистрироваться и т.п., чтобы решить ТВОЮ проблему?

> Мне например интересно как там постоена проверка
Вот и спроси там. Потом нам расскажешь, как это сделано. Я тебе уже предлагал это решение.

> и я попросил совета на форуме
Ты думаешь, автор ТЕХ скриптов сидит на этом форуме и ждёт, когда ему зададут вопрос по ЕГО скриптам?
 

Stadnitski Alex

Новичок
SiMM
> Почему я должен где-то регистрироваться и т.п., чтобы решить ТВОЮ проблему?

Я не прошу тебя регистрироватся чтоб решить мою проблему. Я этосказал для того чтоб доказать тебе что не надо расспознавать образы чтоб сделать проверку картинки на "правильность".

> Ты думаешь, автор ТЕХ скриптов сидит на этом форуме и ждёт, когда ему зададут вопрос по ЕГО скриптам?

Нет, я так не думаю. Я думал что здесь есть умные и опытные люди, которые могут мне кое что подсказать по этому поводу.
 

Tor

Новичок
можно запустить внешнее приложение: ghostscript, firefox, etc. , попросить открыть этот файл и посмотреть на результат
 
Фанат

Фанат

oncle terrible
Команда форума
а кто будет смотреть?

-~{}~ 06.06.05 15:02:

Stadnitski Alex
я куда угодно загружу джипег с пхп кодом внутри.
при том, что портить картинку для этого совершенно не не обязательно
 

Tor

Новичок
а кто будет смотреть?
Нажмите для раскрытия...
тот, кто запускает, естественно
так же естественно, что это не человек
правильные программы возвращают код ошибки, по которому вполне обнозначно можно определить результат их работы

-~{}~ 06.06.05 14:06:

джипег с пхп кодом внутри
Нажмите для раскрытия...
портить картинку для этого совершенно не не обязательно
Нажмите для раскрытия...
что значит "с кодом"?
что значит "портить"?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху