Безопасен ли такой способ загрузки картинок на PHP?

Question

[Алексей Зорин]

Функция писалась для Yii (да, я знаю о существовании расширений и о наличии валидатора yii, вопрос в безопасности конкретно этой функции, т.к. планируется её расширение).

а) Можно ли упростить код?
б) Достаточно ли он безопасен?
в) Предположим, хакер умудрился дать серверу возможность исполнять .jpg, .gif и .png файлы. Есть ли у него теперь шелл?

/**
 * Функция заливки изображений
 *
 * Раскидывает изображения в папки /month/generateFilename
 * Необязательные параметр - $resolution, ширина и высота. Если они не переданы, просто заливает
 * Возвращает false если это не картинка или если высота, размер или ширина не верны, 
 * Иначе возвращает true;
 *
 * параметр $resolution = array('width'=>'...','height'=>'...')
 */
public function uploadImage($files,$resolution = null, $size = false)
{
	# Если не передан максимальный размер картинки, берём значение из конфига 
	if($size === null)
		$size = Yii::app()->params['imageUpload']['maxSize'];
	
	foreach($files as $key=>$value)
	{
		# Если файл передан в виде $_FILES['Array']['name']['inputname']
		if(is_array($files[$key]['name'])) 
		{
			foreach ($files[$key]['name'] as $k => $v) 
			{
				$name = $k;
			}
			$file['name'] = $files[$key]['name'][$name];
			$file['tmp_name'] = $files[$key]['tmp_name'][$name];
			$file['size'] = $files[$key]['size'][$name];
		}
		# Иначе, обычный $_FILES['inputname']['name']
		else 
		{
			$file['name'] = $files[$key]['name'];
			$file['tmp_name'] = $files[$key]['tmp_name'];
			$file['size'] = $files[$key]['size'];
		}
		# На выходе $file с нужными данными $file = array('name'=>'...','tmp_name'=>'...','size'=>'...')
	} 

	# Если размер превышает допустымый на сервере, возвращаем false
	if($file['size'] > $size*1024)
		return false;

	# Белый список расширений
	$whiteList = array('jpg', 'jpeg', 'png', 'gif');
		
	# Находим расширение файла в нижнем регистре
	$ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));

	# Перебираем массив с допустимыми расширениями
	foreach ($whiteList as $value) {
		# Если совпадение найдено, заливаем изображение
		if($value == $ext)
		{
			# Для функции создания изображения
			if($ext === 'jpg' OR $ext === 'jpeg')
				$function_postfix = 'jpeg';
			else
				$function_postfix = $ext;

			# Находим имя функции
			$function_create = 'imagecreatefrom'.$function_postfix;

			# Сохраняем ресур изображения
			$img = $function_create($file['tmp_name']);

			# Если переданы параметры ширины и высоты изображения, проверяем их
			if($resolution !== null)
			{
				if($resolution['width'] !== imagesx($img))
					return false;
				if($resolution['height'] !== imagesy($img))
					return false;
			}

			# Генерируем имя файла
			$filename = mb_substr(md5(rand(0,99999999).time()), 16).'_'.time().'.'.$ext;

			# текущий месяц для пути
			$current_month = date("F");

			# Определяем путь до изображения
			$way = $_SERVER['DOCUMENT_ROOT'].'/'.Yii::app()->params['imageUpload']['url'].'/'.$current_month;
			
			# Проверяем существование пути до изображения. Если не существует, создаём
			if(!file_exists($way))
				mkdir($way);
			
			# Определяем функцию сохранения изображения
			$function_save = 'image'.$function_postfix;

			# Сохраняем изображение
			$function_save($img,$way.'/'.$filename);

			# Возвращаем путь до изображения
			return $current_month.'/'.$filename;						
		}
	}

	# Если расширение не найдёно, возвращаем false
	return false;
}

Про то, что картинки следует хранить на другом сервере без поддержки PHP я тоже знаю. Меня интересует простое решение для простых смертных. Спасибо

Comments

[Diversia]

Алексей Зорин, можете поделиться кодом, который наверняка заточили за все это время?

Answer 1

[Евгений]

Как грузить и что грузить это уже издержки перфекционизма, но самое главное:
НИКОГДА НЕ РАЗРЕШАЙТЕ ВЫПОЛНЕНИЕ СКРИПТОВ В ПАПКЕ ДЛЯ ЗАГРУЗКИ

Answer 2

[Александр Аксентьев]

Досконально не смотрел, но первое что бросилось в глаза foreach для разрешенных форматов, жи есть просто. - in_array

И еще какая-то глупость $function_save, непонятно без контекста что это вообще, но мне уже это не нравится.

Зачем createfrom*, вы даже не добавляете водные знаки.
Зачем столько сложностей с именем файла: substr, md5, rand, time, time

Comments

[Алексей Зорин]

createfrom*, чтобы исключить подстановку мусора в комментариях к картинке. Прочитайте вопрос "в)". Отсюда и создание картинки из исходного файла. Вроде как это проще, чем принудительно удалять мусор из комментариев к картинке

По поводу in_array, спасибо, принимается. Действительно будет короче. Мне, почему-то, было проще через foreach

О $function_save, посмотрите. Вроде как всё понятно и просто. Подставляет imagejpeg, image

[Александр Аксентьев]

Алексей Зорин: Да я уже потом понял что это за функция сохранение. Тем не менее это трата ресурсов при больших объемах данных. Лучшее решение от хакиров запрет выполнения кода в принципе в папке с картинками, и тогда пусть хоть что загружает.

[Александр Аксентьев]

Алексей Зорин: ну и так чисто для удобства польователя возвращать "коды" ошибок вместо false, чтобы показать пользователю почему конкретно не загрузился файл.

[Алексей Зорин]

Александр Аксентьев: Вопрос "в)", потому что могу забыть пихнуть .htaccess в папку с картинками. А функции из проекта в проект переношу по надобности.

О кодах ошибок - верное замечание, принял! Спасибо

[Алексей Зорин]

Применять imagecreatefrom научился на одном ресурсе, который мне так и не удалось взломать... А вывод ошибок там был. Вот я и позаимствовал идею

[Александр Аксентьев]

Алексей Зорин: Это уже какая-то глупая отмазка - забыл(-а голову ты дома не забыл?) :)) В серьезный проект просто так бездумно такую функцию не засунешь, а в "несерьезный" это некритично. Напишите в комментарии что надо не забыть это сделать, например.

[Алексей Зорин]

Александр Аксентьев: хорошо, предположим забыл не я, а задача исключить возможность "забыл" у любого в команде. Всякое бывает. Если есть возможность исключить человеческий фактор, почему бы и нет? Тем более что не хостинг картинок пишем, не так часто картинки заливаются, ресурсы на конкретно этом моменте можно не сильно экономить

[Александр Аксентьев]

Алексей Зорин: таки комментарий к функции прочитать можете не только вы :) Для меня лично это на уровне обязательного, а не рекомендации, тут не может быть никаких забыл.

Answer 3

[index0h]

По умолчанию у создаваемого каталога права 0777, т.е вообще все пользователи системы могут делать там все что угодно. Проверьте с какими правами создаются файлы через image*.
Вместо imagecreatefrom* можно использовать stackoverflow.com/questions/15408125/php-check-if-...

Очень рекомендую почитать про PSR-2 и phpDocumentor. Так же разделить логику метода по функциональным составляющим.
Входные параметры на тип и граничные значения тоже неплохо бы проверять, например что будет, если $size задать больше max_upload_size?

Comments

[Алексей Зорин]

Спасибо Вам, советы по оформлению ценные, принял. Самоучка, руки до этого не доходили. Но на основной вопрос Вы не ответили!?

И, Вы сказали "... вместо imagecreatefrom* можно использовать ...", а в чём минус моего способа?

Спасибо

[index0h]

Минус в том, что вы пытаясь проверить, что файл - изображение, за одно его пере создаете, это лишнее ресурсоемкое действие.

[Алексей Зорин]

index0h: Понял, спасибо. Но, шелл не возможен для данного кода?

[index0h]

еще нюанс на счет имен файлов: через год работы у вас пойдет коллизия путей, не в плане повторов, а в плане того, что файлу будет год, а вы будете считать его новым. Вместо этого рекомендую сделать следующее:

Рассчитываете $md5 = md5_file, далее его путь берете, как:
"/path/to/{$md5[0]}{$md5[1]}/{$md5[2]}{$md5[3]}/" . substr($md5, 4) . ".{$ext}";
Хотя md5_file и будет кушать некоторые ресурсы, но вы с избавитесь от дубликатов. Да, у md5 есть коллизии, но вероятность попасть на нее будет очень мизерная, не выше, чем у вашего метода расчета имени.

[Александр Аксентьев]

index0h: Каким образом файл станет новым если дата создания в системе будет правильная и в названии файла написана дата загрузки? Пути разве что будут повторяться по месяцам, т.е. всего 12 папок будет.

[index0h]

Алексей Зорин > Понял, спасибо. Но, шелл не возможен для данного кода?
Возможен)) bolknote.ru/2012/08/02/~3703#17 - например

[index0h]

Александр Аксентьев Новым он не станет, его можно будет легко спутать.
Тут проблема будет именно в человеческом факторе: есть некая уверенность, что файлы в этой папке именно за этот месяц. Замечательно, но вот про то, что файлы там могут быть за прошлые годы - легко за год забыть, а дальше наломать дров.

[index0h]

Алексей Зорин Вы того, не думайте, что существует абсолютная защита)) Задача любой системы защиты - сделать ее взлом не выгодным, не более и не менее того.

[Алексей Зорин]

index0h: Изначально думал разбить на папки /, но подумал про бардак. 12 папок лучше, чем 1. Ну в крайнем случае всегда можно будет разобрать скриптом дату загрузки из имени файла, но всё ж замечание верное. Ок, принял

[Алексей Зорин]

index0h: Ваш пример взлома. Он ведь устраняется функциями imagecreatefrom....

[Алексей Зорин]

По поводу имени - это ведь хорошо, что сохраняется дата заливки изображения. Мало ли, зачем пригодится? Пусть будет, почему бы и нет. Это не ресурсоёмко.

[Александр Аксентьев]

Алексей Зорин: Так никто не говорит что это плохо) Имеет смысл тогда разбивать по годам еще

[index0h]

Алексей Зорин > Он ведь устраняется функциями imagecreatefrom....
Ну, тут в исходниках колупать нужно, что именно переписывается в контейнере, и выполняется ли перекодирование целевого изображения при сохранении формата.

На счет каталогов: одна из очень весомых целей разбивки - это вовсе не сохранить дату файла (она и так сохраняется), а уменьшение нагрузки на файловую систему. При большом количестве файлов в одном каталоге время получения дескриптора файла будет только увеличиваться. Смысл разбиения на подкаталоги в том, что вы будете получать примерно одинаковый уровень заполнения каталогов и когда даже данный подход не будет справляться - придется смотреть в сторону распределенных систем хранения файлов, например mogilefs