Как запретить выполнять код в файлах .jpg, gif, png?

Question

[Влад]

Здравствуйте.
Обнаружил на сайте уже 2 подобных вируса: в файле прописывается ссылка на залитое на фтп изображение формата .gif, а само это изображение, если открыть в текстовом редакторе, то внутри оказывается php код с вирусом.

Подскажите, пожалуйста, есть ли возможность как-то запретить на всём сайте выполнять php код в файлах, которые имеют формат изображений?
Или может разумно сделать вообще, чтобы код выполнялся только в файлах с расширением .php ?

Answer 1

[Андрей Павленко]

1) пользуйтесь функцией getimagesize - это отлично поможет от "кулхакеров".
2) вообще, никакой угрозы для сайта нет, если подобные файлы невозможно проинклюдить где-то в коде (а этого быть не должно). Можете дополнительно отключить исполнение PHP-скриптов в конкретной папке, где хранятся эти изображения, но, обычно, если вы правильно валидируете расширения - бояться нечего.
То есть, и так по умолчанию код в изображениях работать не будет.

Comments

[Влад]

1) а.. разве есть какая-то сложность хакеру поставить include с ссылкой на изображение?? Или у меня какая-то базовая защита не стоит на сервере?
2) у меня не html сайт, а движок Datalife - тут очень много системных файлов и папок с изображениями, так что конкретную папку с изображениями сложно указать..
3) а что значит валидировать расширения?
4) как запретить исполнение php скриптов в отдельной папке?

[Влад]

5) и как в моем случае поможет getimagesize?...

[Uwe_Boll]

Влад: Документация Ответ Правильный Даст Тебе

[Андрей Павленко]

Влад: а где это вы собираетесь давать возможность инклюда?
Короче, ваша проблема надуманная.
3) валидировать - значить "проверять"
4) настройками веб-сервера. Погуглите.