картинки на форуме

[alexey84]

картинки на форуме

есть самописный форум, заказчик попросил чтобы юзверы могли добавлять картинки в сообщения. из поиска по форуму понял, что давать заливать картинки опасно, а есть ли опасность разрешать вставлять ссылку на картинку?

 

[Aly]

На мой взгляд даже простой input опасен если не делать проверок. Поставь жёсткие требования к имени файла, проверяй картинку через GD перед заливом..

На линк могут fishing повесить если не будешь проверять, да и кучу всего остального.
ИМХО

 

[kruglov]

Картинки грузить разрешать. Проверять их по размеру в байтах и по расширению.

 

[alexey84]

а fishing это что?

 

[Фанат]

рыбалка, на которой ловят не рыбу, а идиотов

 

[alexey84]

а если без понтов, то всетаки это как?

 

[nalim]

а fishing это что?

 

[alexey84]

ну как в запихать в сообщение это понятно, а как в заливаемый файл это могут запихать???

 

[Фанат]

а если без понтов - то в гугль

 

[Zetruger]

есть ли опасность разрешать вставлять ссылку на картинку?

это ОЧЕНЬ опасно!
злые люди украдут REFERRER пользователей, а если у тебя сессия передается через URL, то это все кранты =)

 

[Фанат]

а если ссылка не на картинку, а на пластинку - то все нормально, проблем никаких.