Можно ли на уровне apache или php запретить upload любых не картинок?

Question

[Пума Тайланд]

Есть на сайте форма заливки картинок, в неё я могу залить php файл ну и получить шел или ещё чего.
Как бы это дело ограничить в конфиге apache или php.
Код заливки уже переписал, но мало ли чего программисты напишут.
Из путей найден пока что только запрет выполнения php в папках аплоуда.
Код php для определения расширения и прочие фичи я знаю, интересует решение на уровне конфига apache или php.

Answer 1

[Vampiro]

Единственный 100% способ, это делать ресайз картинки из исходного размера в исходный, убирая из нее всю «мета» информацию, а лучше меняя даже формат. Чтобы не заливали bmp/tiff :)

Я положу в jpg-meta "Creator="<? exec('rm -rf ../'); ?> и это будет нормальная картинка, которая пройдет все ваши фильтры…
А потом через дыру в инклудах каких-нить приинклудю эту картинку. И мне не критично — какое у нее будет расширение, как ее переименовали и какие у нее права. Достаточно только на чтение.

Comments

[Vampiro]

Не пережимайте. Оо

Answer 2

[DobroFenix]

getimagesize(); или is_image();

Comments

[Пума Тайланд]

Не в коде php, а в конфиге.

[Сергей Протько]

1) в конфиге нельзя.
2) в конфиге такое не решается.
3) если убрать права на исполнение у всех загружаемых правах, то проблем быть попросту не должно. Если к тому же по расширению или mime-типу проверять — то вообще надежно. Остальное — лишенная всяческих оснований паранойя. Такие вещи к слову только в коде нужно делать.

[Ogra]

Это не работает. Можно прицепить PHP код к концу JPEG файла, и это обойдет вашу защиту.

[Илья Антипенко]

Это позволит обойти разве что проверку mime-типа, но file.jpg с пхп-кодом не будет выполняться, т.к. jpg не передается на интерпретацию php-движку. (разве что если это не прописано в .htaccess)

[Иван Журавлев]

@aibus, это работает, но только при LFI. В остальных случаях вы правы он бесполезен.

[Иван Журавлев]

aivus, опечатался с ником)

Answer 3

[Игорь]

Не совсем то, что Вы ищите. И не уверен, что сработает. Но если речь идёт о линуксовом сервере — можно попробовать права папке поставить на запись и чтение. И наследовать права файлам внутри папки.

Помнится, у меня частенько с арендованными у хостера веб-серверами была проблема выполнения скриптов, пока скриптам и папке не выставлял права на выполнение

Comments

[Пума Тайланд]

Откровенно говоря я вас не понял.
В линуксе права папок не наследуются на сколько я знаю.
Апачу все равно есть ли у файла права на выполнение, ему достаточно прав на чтение.
Возможно вы имели ввиду что то другое.

[Игорь]

Я имел ввиду то же самое, что написано чуть ниже:

запретить исполнение в папке загрузки

Answer 4

[Николай Турнавиотов]

это скорее в сторону просмотра mime информации и если нет сигнатур jpeg/gif/tiff/png/etc — блокировать.
Я бы попробовал получать от клиента первые апур килобайт файла. проверять есть ли там нужная сигнатура и в зависимости от того, или получать весь файл или прощаться с пользователем.
банально по тому что мне никто не запрещает переименовать exe -> jpeg и попробовать подсунуть это загрузчику и использовать потом ссылку для распространения всякого шлака, например

Comments

[Пума Тайланд]

Как это положить в конфиг apache или php?

[Николай Турнавиотов]

а как конфиг апача/php скачает первые пару килобайт?

[Пума Тайланд]

Никак, на это я и наекаю.