Как парсить bb код изображения?

Question

[Дмитрий]

Какие варианты парсинга есть кроме

preg_replace('/\[img=(.+)\]/', '<img src="$1">', $text)

И тому подобных вариантов?

Дело в том, что этот код уязвим. Пытался проверить изображение с помощью функции preg_replace_callback и примерно такого кода

if (@imagecreatefromstring(file_get_contents($arr[1]))){
	return 'гуд';		
}else{
	return 'не гуд';	
}

Но при большом количестве тегов-картинок очень долго грузит. Как можно еще проверить изображение?

Answer 1

[Виталий Перетятько]

На некоторых форумах не разрешают вставлять изображения, в ссылках которых есть GET параметры, в других проверяют чтоб ссылка заканчивалась на \.(jpe?g|png|gif), но это все защита от дурака, при желании ничего не стоит расположить картинку с любым именем у себя на сервере, а потом сделать 30х редирект на любой урл. Так что так...

Answer 2

[FanatPHP]

Зачем?

Answer 3

[Дмитрий]

Нашел функцию getimagesize. Она возвращает данные изображения. Если файл не является изображением, возвращает Notice: Read error

Comments

[FanatPHP]

и что?

Answer 4

[Сергей]

$routput = "Bad code!";
$ioutput = "<img src='%s'/>";
$pattern = "/^\[[img|IMG]+=\'(.*).(jpg|png|gif)\'\]\$/";
$allowed = array("image/jpeg", "image/png", "image/gif");
$bbimage = "[IMG='http://www.hdiphonewallpapers.us/phone-wallpapers/phone/12963B64236440-2J38.jpg']";

if (preg_match($pattern, $bbimage)) {
	
	try {
		$path = preg_replace($pattern, "$1.$2", $bbimage);
		$size = getimagesize($path);
		
		$mime = (string) $size['mime'];
		
		if ($mime && in_array($mime, $allowed, true)) {
			$routput = sprintf($ioutput, $path);
		}
		
	} catch (Exception $e) {}
}

echo $routput;

Comments

[FanatPHP]

Что это? Зачем?

[FanatPHP]

Судя по коду, у тебя шизофрения (try {} catch) и паранойя ((string) $size). Пора завязывать с тяжелыми наркотиками, приятель.

[Сергей]

FanatPHP: Вставка BBC с проверкой на подлинность.

[Сергей]

FanatPHP: Перестаю тебя понимать, а так же не вижу альтернативы.

[FanatPHP]

ЗАЧЕМ нужна проверка "на подлинность"?

[FanatPHP]

ЗАЧЕМ здесь (try {} catch?

[FanatPHP]

ЗАЧЕМ try с пустым catch?

[FanatPHP]

ЗАЧЕМ делается (string) $size?

[Сергей]

FanatPHP: На сколько я понял, BBC вставляет произвольный пользователь. А топикстартер пытается обезопасить себя от левого контента. Подлинность разрешённых файлов. Возможно не подходящий термин подобрал.

[FanatPHP]

Что такое "левый контент"? В чем заключается его опасность? Что такое "подлинность", и от чего она помогает?

[FanatPHP]

Все-таки, это поразительно - писать код на одних условных рефлексах, не приходя в сознание... Эту страну не победить.

[Сергей]

FanatPHP: (string) $size - привычка работать с типами данных а не мусором. Стиль у меня такой. try с пустым catch - так как в действие не нуждается. Ответ объявлен в первой переменной "$routput".

[Сергей]

FanatPHP: Не могу понять, тебя интересует тема или ты проходящий тролль? Конструктивнее можно?

[Александр Аксентьев]

FanatPHP: пфф, разве это параноя? У меня есть друг который делает валидацию данных которые достает из базы, и которые при записи проверялись(даже если база вручную забита через pma) :)

[FanatPHP]

Я не тролль. Я человек, который сначала думает, а потом говорит. Редчайший тип. Ладно, все эти придирки к коду - это отдельная статья, я понимаю, что пользователь похапе без привычных бубнов и заклинаний - не пользователь. Но по основному вопросу ты так и не ответил. Не надо "подбирать термины". Просто опиши уязвимость и то, как твой код от нее защищает. Ты в состоянии это объяснить? В теории - должен. Ты же писал этот код. Но на практике, если ты хотя бы только начнешь формулировать принципы "защиты", тобой реализованной, ты сам начнешь понимать, что она не имеет ни малейшего смысла. И даже сейчас ты инстинктивно боишься задуматься. И вот это-то самое страшное - ты писал этот код не думая.

[FanatPHP]

Выше - основное. Я буду рад, если ты хотя бы задумаешься над поставленным там вопросом. Теперь мелочи. Первое. Запомни на всю жизнь: если пойманное исключение "в действие не нуждается", то и ловить его НЕЛЬЗЯ. За такой код в нормальных местах учеников бьют по рукам. Линейкой. А ты, видать - мальчик, воспитанный говнокодерами. Переучивайся. Второе. Опять придется думать. КАКОЕ исключение ты собрался тут ловить? Приведи конкретный пример. Третье. "привычка работать с типами данных" - это и есть паранойя. Я понимаю, что многократные перепроверки и перестраховки, делаемые на автомате, в какой-то мере избавляют от необходимости думать - чего ты так не любишь. Но, к сожалению, код получается путь стабильным, но бессмысленным. Поэтому вместо очередной проверки лучше сесть и подумать - нужна ли она здесь. Учись потихоньку думать.

[Сергей]

FanatPHP: Ладно "редчайший тип" ты меня победил.

[FanatPHP]

Да нет, как раз не победил. Ты остался в том же коматозном состоянии, что и раньше, увы.

[Сергей]

Ну да, с "try catch" я погорячился(лень было в мануал смотреть), фобия от "java" ибо не знаю работы со стримом без throw а с пехой всего пару лет пытаюсь подружиться. Об уязвимости писал автор поста, по этому я не в курсе что он имел ввиду под уязвимостью, мне бы хватило только "preg_match", да и try машинально воткнул. То что привожу к типам, читать мне, в первую очередь, удобнее и быстрее. Ну и строгую типизацию ещё ни кто не отменял. Что о пустых блоках (catch {}). Раз уж ты такой правильный то должен понимать что я имел ввиду данным действием. Судя по коду можно понять, что данный код возвращает ошибку по умолчанию и только в положительном случае возвращает разметку. Идея catch изменить состояние на ложное какого уже стоит, ещё раз присвоить переменной $routput = "Bad code!"? Или ты один из тех кто отрицает "continue;" в циклах? Признаю вину только в том, что вообще вставил эту инструкцию.

Ну и напоследок, было бы приятнее если бы ты объяснял а не панически выдавал себя за психопата.