Как правильно загружать картинки на сервер (без червей и вирусов)?

Question

[swcalc]

Доброго времени суток, интересует вопрос, как правильно обрабатывать изображения или настроить выделенную область на сервере для хранения изображений?
Определяется формат следующим образом, как не подгрузить изображение с чем-либо, что может навредить работе сервера и по или пользователям (или чтобы это изображение осталось изображением)?

$q=array(
            'image' => $_FILES['image'],
            'image_info'    => new finfo(FILEINFO_MIME_TYPE)
        );
        echo $q['image_info']->file($q['image']['tmp_name']);

Answer 1

[Pavel K]

Если грузятся только изображения то просто примените функции GD
Например imagecreatefromjpg (разумеется сначала нужно определить ее тип) и потом просто сохраните imagejpg($imagecreated, $filename); в нужном Вам месте. естественно при этом не забыть прописать исключения.
Для большей параноидальности в каталоге сохранения можно отключить выполнение скриптов через .htaccess
Ну и статья по теме: habrahabr.ru/post/44610

Answer 2

[xmoonlight]

function.getimagesize.php
Проверьте размеры через функцию. Если размеры нормальные - это изображение.

Comments

[Pavel K]

Неа!

[swcalc]

Если в gif будет что-то запаяно, то размер не будет возвращен или будет не нормальным?

[Pavel K]

будет нормальным. Парсер просто пропустит данные картинки и выполнит код который можно прописать в метаинформация о картинке.

[xmoonlight]

Pavel K, @neoline777 : Давайте выясним. Пример такой хитрой картинки - в студию.

[swcalc]

xmoonlight: эта тема очень старая, одно время весь интернет располагал данными, как с помощью чата выводить панель для авторизации на юкоз сайтах.

[xmoonlight]

swcalc: мы сейчас JS не рассматриваем! мы грузим на сервер картинку и ПЕРЕД сохранением на сервере (и дальнейшим выводом) - ПРОВЕРЯЕМ через PHP!
Верно?!

[FanatPHP]

xmoonlight: ты так забавен в своем невежестве. Про exif что-нибудь слышал?

[xmoonlight]

FanatPHP: про невежество - тут по-подробнее, пожалуйста.

[FanatPHP]

Про exif что-нибудь слышал?

[xmoonlight]

FanatPHP: мета-данные для хранения внутри изображения (настройки камеры, координаты съемки и т.д.), толку то от них?

[FanatPHP]

в них можно записать РНР код

[xmoonlight]

FanatPHP: ну а выполнить-то как записанный код?

[FanatPHP]

при чем здесь выполнить? Ты просил "пример этой картинки в студию". Я привел тебе пример?

[xmoonlight]

FanatPHP: Нет. Т.к. я просил тело картинки целиком с таким php-кодом.

[FanatPHP]

не понял. то значит "целиком"? картинку, целиком состоящую только из пхп кода? А, извиняюсь, зачем? Ты, по-моему, юлить начинаешь, и очень неумно

[xmoonlight]

FanatPHP: а кто про "картинку, целиком состоящую только из пхп кода" говорил?! ты Андерсен что ли?!)))
Юлить не начинаю, а прошу просто: пример картинки для загрузки на сервер, в которой содержится PHP-код, который можно будет выполнить, обойдя getimagesize()-проверку.
Мне интересно: возможно ли и, если - да, то как?

[FanatPHP]

Я ТЕБЕ УЖЕ ПРИВЕЛ! Проверку проходит? проходит. Код в мета-полях лежит? Лежит. Значит, если его запустить на исполнение - он исполнится. Как в этих трех соснах можно заблудиться? Что конкретно тебя смущает?

[xmoonlight]

FanatPHP: Смущает запуск jpg/png - файла на исполнение. Как?

[FanatPHP]

Пдожди. Ты юлишь, и мне это не нравится. "Пример такой хитрой картинки - в студию." - вот твои слова. " пример картинки для загрузки на сервер, в которой содержится PHP-код, который можно будет выполнить, обойдя getimagesize()-проверку." - сот снова твои слова. Где хоть в одном месте ты говорил про исполнение? Везде разговор был исключительно про наличие кода И прохождение теста getimagesize. Всё.

[xmoonlight]

FanatPHP: выше читай комменты над "...в студию".

[FanatPHP]

Это при том, что getimagesize читает только заголовок картинки, и не лезет в тело, в которое можно напихать чего угодно.

[FanatPHP]

и что там, с этими комментами не так? С каким конкретно утверждением ты не согласен?

[xmoonlight]

FanatPHP: "Парсер просто пропустит данные картинки и выполнит код который можно прописать в метаинформация о картинке." - вот я не могу понять: как парсер (PHP) выполнит код из картинки jpg/png?
Т.е. другими словами: как это воспроизвести для теста?

[FanatPHP]

ну например заинклюдь такую картинку. Парсер просто пропустит данные картинки и выполнит код который можно прописать в метаинформация о картинке.

[xmoonlight]

FanatPHP: так то - да, выполнит. А вот если специально не инклудить, то никак не запустить же код изнутри, верно? (или я чего-то не знаю)

[FanatPHP]

ну то есть, у тебя вопросов к к предыдущим ораторам не осталось, пример картинки, которую ты требовал, тебе предоставили?

[xmoonlight]

FanatPHP: "тело" бы хотелось такой картинки...

[FanatPHP]

ОМГ. какое ещё "тело"? Чем в принципе отличается файл head.tpl, в котором сначала идет какой-то текст, а потом, после открывающего тега - РНР, от файла head.jpg, где сначала идут бинарные данные, а потом, после открывающего тега - РНР? Что тебе неясно с теоретической точки зрения, что тебе требуется какой-то осязаемый пруф?

[xmoonlight]

FanatPHP: а-а. ну терь понятно.
Т.е. запустить файл jpg/png, если он не в инклуде (и нет хендла для запуска, по-умолчанию) - нельзя.
Итог: файл не может быть никак запущен.

[FanatPHP]

на самом деле вариантов для запуска масса. И перед тем, как ты украл у меня час жизни, я был готов тебе про них рассказать. Но ты решил поиграть в дурачка - твой выбор.

[xmoonlight]

FanatPHP: "И перед тем, как ты украл у меня час жизни, я был готов тебе про них рассказать. Но ты решил поиграть в дурачка - твой выбор." - слишком детская отмазка: не знаешь как - так и скажи: "Я - НЕ ЗНАЮ, но ПОНТУЮСЬ ТУТ"! ))

[FanatPHP]

Твой дешевый наезд был бы правомерен, если бы я хоть раз согласился с твоей точкой зрения, что необходимость подтверждения запуска является ключевым моментом. В общем, ты как был мутным чудаком, так и остался.

[xmoonlight]

FanatPHP: Во-первых - это не наезд, а констатация ФАКТА ОТСУТСТВИЯ у тебя предметных ЗНАНИЙ.

Уважаемый FanatPHP, а кто ты такой вообще, чтобы оценивать мой ответ как наезд (или не наезд) и при этом ставить ДОП.УСЛОВИЯ?

Ты СЕБЯ НЕ МОЖЕШЬ АДЕКВАТНО ОЦЕНИТЬ как специалист и ХАМИШЬ ВСЕМ подряд на Тостере, когда тебя загоняют в логический "тупик" или когда тебе нечем ответить на заданный вопрос....
И так уже было не раз...

Так делают только те, кто не уверен в своих знаниях. Я бы подумал несколько раз прежде, чем переходить на публичное оскорбление в твоём случае.

Иными словами: не рой сам себе еще глубже яму: хочешь общаться нормально - общайся с людьми НОРМАЛЬНО.
----------------------------------
" я был готов тебе про них рассказать." - Сейчас самое время.

[FanatPHP]

хехе, ты мастер переводить стрелки :) Но по факту пока мы констатировали отсутствие знаний у только тебя. Тебе три человека сказали, как просто в картинку записать пхп код, и, следовательно, твой ответ неверен. Но знаний при этом нет у меня, дадад ;)

[xmoonlight]

FanatPHP: Я - не знаю, поэтому и прошу помочь подсказать...
Толку то от кода внутри картинок, если его нельзя запустить?
А если можно - то скажи: как? (разве так сложно просто взять и ответить, если знаешь)

[swcalc]

xmoonlight: @FanatPHP: захоливарино