Stadnitski Alex
Новичок
Пусть даже так, но для чего разрешать пользователю грузить плохие файлы?
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Действительно ли картинка?
- Автор темы Stadnitski Alex
- Дата начала
- Статус
Stadnitski Alex
Новичок
Плохой файл - он же испорченый файл - он же поврехденный файл
Stadnitski Alex
Новичок
А ты попробуй открыть файл в текстовом редакторе и внедрить в него php-код, сохранить файл, а потом открыть для просмотра
SiMM
Новичок
> А ты попробуй открыть файл в текстовом редакторе и внедрить в него php-код, сохранить файл, а потом открыть для просмотра
А ты попробуй не использовать для этого блокнот, а пользоваться более подходящим софтом
А вообще - пожалуйста, скачай http://simm.superihost.com/PHPinJPG.jpg скорми её php-интерпретатору - отбросив всё лишнее получишь результат отработки phpinfo - и кто мне скажет, чем этот файл "плох" или "бит" с точки зрения JPEG? Так что выход у тебя один, и тебе его уже давно озвучили.
А ты попробуй не использовать для этого блокнот, а пользоваться более подходящим софтом
А вообще - пожалуйста, скачай http://simm.superihost.com/PHPinJPG.jpg скорми её php-интерпретатору - отбросив всё лишнее получишь результат отработки phpinfo - и кто мне скажет, чем этот файл "плох" или "бит" с точки зрения JPEG? Так что выход у тебя один, и тебе его уже давно озвучили.
Мутник
Новичок
ayrat9
тебе фанат уже сказал по поводу советов...
знаешь что такое pjpeg??
это ПРОГРЕССИВНЫЙ jpeg - такой вид сохранения есть... А не прихоть ИЕ
-~{}~ 06.06.05 15:26:
Stadnitski Alex
слушай, тебе что делать нечего, кроме как демогогию тут разводить???
тебе ж сказали НЕ ДЕЛАЙ include файлов, полученных от пользоватлея и у тебя НЕ БУДЕТ никаких проблем.. ЧТо тебе еще надо, скажи по-русски... тебе помогут.
тебе фанат уже сказал по поводу советов...
знаешь что такое pjpeg??
это ПРОГРЕССИВНЫЙ jpeg - такой вид сохранения есть... А не прихоть ИЕ
-~{}~ 06.06.05 15:26:
Stadnitski Alex
слушай, тебе что делать нечего, кроме как демогогию тут разводить???
тебе ж сказали НЕ ДЕЛАЙ include файлов, полученных от пользоватлея и у тебя НЕ БУДЕТ никаких проблем.. ЧТо тебе еще надо, скажи по-русски... тебе помогут.
Stadnitski Alex
Новичок
А я инклудов и не делаю. Я хочу знать как можна делать проверку на "правильность" рисунка, для того чтоб в случае загрузги пользователем поврежденного файла, он получил сообщение о том что файл поврежден.
SiMM
Новичок
> Я хочу знать как можна делать проверку на "правильность" рисунка, для того чтоб в случае загрузги пользователем поврежденного файла, он получил сообщение о том что файл поврежден.
А что такое повреждённый файл? И где он был повреждён? Если говорить о JPEG, то примитивно можно проверять на наличие тэга EOI в конце файла (в конце файла должно быть "\xFF\xD9") - в своё время я так проверял целостность файлов, закаченных по ftp (т.е. закачен ли файл целиком) - но для HTTP смысла в этом, думаю, мало. И это, конечно же, не даёт никаких гарантий.
А что такое повреждённый файл? И где он был повреждён? Если говорить о JPEG, то примитивно можно проверять на наличие тэга EOI в конце файла (в конце файла должно быть "\xFF\xD9") - в своё время я так проверял целостность файлов, закаченных по ftp (т.е. закачен ли файл целиком) - но для HTTP смысла в этом, думаю, мало. И это, конечно же, не даёт никаких гарантий.
отлично.
Значит тема безопасности закрыта за полной бессмысленностью.
Проблема "плохих" картинок к безопасности отношения не имеет.
я рад, что все, наконец, это поняли.
Если кого-то всё ещё интересует этот чисто теоретический вопрос, не имеющий отношенияф к данному топику, то можно создать новый топик, и обсуждать этот вопрос там.
Royal Flash
-=MaestrO=-
SIMM http://simm.superihost.com/PHPinJPG.jpg - phpinfo в jpeg - это конечно интересно... Только ведь насколько криво нужно писать движок сайта, чтобы это phpinfo в картинке сработало? 
Stadnitski Alex Решение твоей проблемы, я думаю, ниже:
Дирректория, в которую пишутся изображения, желательно, точнее обязательно, должна быть защищена .htaccess от исполнения из нее любых скриптов.
Картинка открывается только при помощи HTML: img src="filename.jpeg"
Если сделаеш, как описано - гарантия 99% от взлома, путем заливки "неправильной" картинки
1% - если я что-то упустил в проверке
Даже если тебе зальют "неправильный" файл, (пример от SIMM) - PHP код там всеравно не сработает.
Stadnitski Alex Решение твоей проблемы, я думаю, ниже:
PHP:
$userfile = $_FILES[userfile];
$size = GetImageSize($userfile[tmp_name]);
if (strlen($userfile[name]) < 1)
{
echo 'не выбран файл для загрузки.';
}
else if (!ereg("[a-zA-Zа-яА-Я0-9_!]", $userfile[tmp_name]))
{
echo 'неправильное имя файла';
}
else if (strlen($userfile[tmp_name]) > 25)
{
echo 'слишком длинное имя фала';
}
elseif ($userfile[size] == 0)
{
echo 'файл для загрузки имеет размер 0 Kb.';
}
elseif ($userfile[size] > 2000000)
{
echo 'Максимально-допустимый размер файла - 2,000,000 байт';
}
elseif (!($size))
{
echo 'загружаемый вами файл имеет недопустимый формат.';
}
elseif ($userfile[error] != 0)
{
echo 'неизвестная ошибка';
}Картинка открывается только при помощи HTML: img src="filename.jpeg"
Если сделаеш, как описано - гарантия 99% от взлома, путем заливки "неправильной" картинки
1% - если я что-то упустил в проверке
Даже если тебе зальют "неправильный" файл, (пример от SIMM) - PHP код там всеравно не сработает.
Stadnitski Alex
Новичок
Royal Flash спасибо за старание, но это не совсем то что нужно. В написаном тобой коде нет для меня ничего нового...
Stadnitski Alex
Новичок
Тогда почему на сайте http://pilt.ee/ она не проходит? Значит там довольно неплохо поработали и придумали как проверить, бит ли файл
Stadnitski Alex
Новичок
Ниодной нормальной еще не отбросил
- Статус