Как определяется тип $_FILES[$userfile]['type']

[maxim]

Как определяется тип $_FILES[$userfile]['type']

Может ли кто нибудь отправить *.php подменив тип на скажем image/pjpeg. И как PHP определяет тип $_FILES[$userfile]['type'].

 

[ForJest]

$_FILES['userfile']['type']
The mime type of the file, if the browser provided this information. An example would be "image/gif".

поэтому ответ - вполне может.
опред* типа файла

 

[Антон]

посмотри в исходики....

а кроме того есть mime_content_type ( string filename);

 

[Кром]

maxim даже елси пользователь закачает на сервер php скрипт с расширением jpg или gif, он все равно не сможет его запустить. Если ты на это намекаешь.

 

[ForJest]

Кром
Тут идёт речь про mime type, а не расширение...

 

[fixxxer]

Если mod_telepat у меня не глючит, то правильный ответ на этот вопрос: для проверки того, что действительно залита картинка, следует использовать [m]getimagesize[/m].

 

[neko]

fixxxer
тогда уж лучше exif_imagetype

 

[SiMM]

neko, для [m]exif_imagetype[/m] необходимо подключение php_exif.dll или --enable-exif при компиляции PHP. В случае же с [m]getimagesize[/m] вообще ничего не нужно.
Хотя на месте автора топика было бы правильнее сказать, зачем ему это нужно - почему то мне думается, что Кром прав

 

[AHTIXPICT]

Автор оригинала: Кром
maxim даже елси пользователь закачает на сервер php скрипт с расширением jpg или gif, он все равно не сможет его запустить. Если ты на это намекаешь.

А если с расширением не jpg или gif, а *.php.
Помоему вопрос был именно в этом.
А если скрипт загрузки написан не правильно, то такое можно сделать.
Например я у себя нашел ошибку в ВЕЮ-интерфейсе для почты:
Можно послать пользователю письмо с вложением (*.php).
Когда пользователь получает вложенный файл - это ссылка в пределах каталога DocumentRoot. Тоесть при нажатии на ссылку вложеия - запустим скрипт.
Или я не прав?

 

[fixxxer]

картинки обычно переименовываются...

-~{}~ 15.08.04 15:10:

а в веб интерфейсе аттачи закрываются хтаксесом и отдаются исключительно скриптом.

 

[AHTIXPICT]

Автор оригинала: fixxxer
картинки обычно переименовываются...

Ну с картинками вроде как и не спорю - там вринципе все нормально.

а в веб интерфейсе аттачи закрываются хтаксесом и отдаются исключительно скриптом.

А вот насчет .htaccess я задумался, но чесно говоря на вскидку так не помню, как запретить выполнение *.php

 

[maxim]

Я имел ввиду может ли кто-то отправить мне *.пхп подделав каким либо образом $_FILES['userfile']['type'] на гиф допустим
А вообще-то я проверяю последний элемент массива
$a = explode('.', $_FILES['userfile'] ['name']);
If($a[count($a)-1] !='gif' or $a[count($a)-1] !='jpg' ...){
$check = FALSE;
}

 

[IL78]

Кром был прав. Вот это телепатия!

 

[maxim]

fixxxer
Подскажи пожалуйста как хтаксесом позакрывать выполнение скриптов пхп, асп и других в каталоге и его подкаталогах

 

[empty]

Функция getImagSize определяет тип файла. Хоть *php, хоть *doc переименовывай в *gif или *jpg, всё равно не обманишь.