-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
как картинку распознать?
- Автор темы Cblpok
- Дата начала
rotoZOOM
ACM maniac
У меня тоже такой вопрос стоит.
Вот пример: юзер заливает тебе картинки, которые ты потом выводишь посредством, например того же <img src="userpicture.gif">. Вместо рисунка гадкий хацкер может подсунуть вредоносный скрипт, который может выполнится.
Вот, чтобы этого не произошло и надо проверять на соответствие выдаваемого и действительного.
Проверять собираюсь тоже, getimagesize'ом.
Вот пример: юзер заливает тебе картинки, которые ты потом выводишь посредством, например того же <img src="userpicture.gif">. Вместо рисунка гадкий хацкер может подсунуть вредоносный скрипт, который может выполнится.
Вот, чтобы этого не произошло и надо проверять на соответствие выдаваемого и действительного.
Проверять собираюсь тоже, getimagesize'ом.
rotoZOOM
ACM maniac
c0dex, должно. Многие так генерят картинки с цифрами, которые вводят в поле, для того, чтобы боты не регистрились.
SiMM а вот такая конструкция за скрипт не прокатит ?
<img src="gre.gif?s=4554015" height="100" width="100">
взято с http://www.megafonural.ru/site/sms_num/send
SiMM а вот такая конструкция за скрипт не прокатит ?
<img src="gre.gif?s=4554015" height="100" width="100">
взято с http://www.megafonural.ru/site/sms_num/send
SiMM
Новичок
rotoZOOM, прокатит такая конструкция за скрипт или нет - решать вэбадмину сервера. Если ты печёшься о своём хостинге - то значит решать тебе.
Я вообще не понимаю - у человека стоит задача - обезопасить сервер. Вместо этого он выдумывает себе совершенно другую задачу (чуть ли не из области искусственного интеллекта) - как проверить, что файл - картинка. Да тебе по барабану, что тебе пользователь пришлёт - всё, что тебе нужно - чтобы он не смог это запустить. Вот и решай эту задачу, а не какую-то другую, выдуманную.
PS: интересно, нафига это сдалось самому автору топика? Тоже поди не ту задачу решает.
Я вообще не понимаю - у человека стоит задача - обезопасить сервер. Вместо этого он выдумывает себе совершенно другую задачу (чуть ли не из области искусственного интеллекта) - как проверить, что файл - картинка. Да тебе по барабану, что тебе пользователь пришлёт - всё, что тебе нужно - чтобы он не смог это запустить. Вот и решай эту задачу, а не какую-то другую, выдуманную.
PS: интересно, нафига это сдалось самому автору топика? Тоже поди не ту задачу решает.
rotoZOOM
ACM maniac
SiMM позволю себе с тобой не согласиться.
В твоем примере getimagesize выдает кривые размеры.
Ну хорошо, допустим ты и размеры учтешь в заголовке и все остальное, и расширение gif, ну ведь тогда тебе браузер его действительно НАРИСУЕТ, а не выполнит, просто рисунок кривой будет
)))
Или я не прав ?
В твоем примере getimagesize выдает кривые размеры.
Ну хорошо, допустим ты и размеры учтешь в заголовке и все остальное, и расширение gif, ну ведь тогда тебе браузер его действительно НАРИСУЕТ, а не выполнит, просто рисунок кривой будет
)))Или я не прав ?
SiMM
Новичок
Что значит кривые размеры? Ты определение этому понятию дать можешь? И потом - размеры, думаю, при желании подделать тоже труда не составит.
Ну и что? Серверу то с этого что? Твоя-то проблема была в том, что я мог залить ТОТ файл с расширением php (ты ведь тупо копировал файл, если он якобы картинка), после чего его выполнить (поскольку никаких мер против этого ты не предпринимал). А ты взял и всё перевернул с ног на голову - теперь оказывается это ты меня учишь уму разуму, показывая, что проверять что-то при помощи getimagesize особого смысла в твоей задаче не имеет.Ну хорошо, допустим ты и размеры учтешь в заголовке и все остальное, и расширение gif, ну ведь тогда тебе браузер его действительно НАРИСУЕТ, а не выполнит, просто рисунок кривой будет
Или я не прав ?