Как правильно загружать изображения (php)?

Question

[Александр]

Делаю загрузку изображения на сервер через ajax.
В обработчике примерно такое содержание, как в этой статье.

Стоит проверка mime type:

$file_types = array('image/png','image/x-png','image/jpeg');
if(!in_array($_FILES['logotype']['type'], $file_types))
{
    //error
}

Все работает, но такой код пропускает ярлыки программ. То есть если попытаться загрузить ярлык любой программы, вместо изображения, то он пройдет проверку! Я никак не пойму, почему так происходит.

P.S. Статьи на хабре читал.

Answer 1

[toxa82]

Mime-type можно подделать и на него лучше не надеяться. Проверяйте расширение файла (.png|.jpg|...). Еще можно проверить валидность картинки функцией getimagesize

Comments

[Vladislav]

toxa82 а расширение нельзя подделать?

[toxa82]

Та подделать то можно. Можно сохранить php файл с расширением png, но он будет пытаться обработать его как картинку, а не как php файл. А есть проверять mime-тип, то ты отсылаешь php-файл (с расширением php), с подделанным mime-типом под картинку, и сохраняется файл с расширением php, который потом можно вызвать и выполнить код прописанный в файле.

Answer 2

[Uwe_Boll]

слушай или читай вот : Это тама три части
и в нужных местах выбрасывай исключения