Как безопасно загрузить изображение на сервер?

Question

[Андрей Котосин]

Интересует вопрос как максимально безопасно загрузить изображение на сервер?
Имеется следующий код:

<div class="file-upload" id="file-upload">
    <label>
        <input type="file" id="avatarchange" name="file">
        <span>Выберите файл</span>
    </label>
</div>

Суть в том, что при выборе изображения, я с помощью jQuery обрабатываю его и сразу же вывожу превью этого изображения в background:

$('#avatarchange').change( function(event) {
var tmppath = URL.createObjectURL(event.target.files[0]);
$('.file-upload span').text('Фото загружено');
setTimeout(avatarOk, 3000);
     $(".img").attr('style','background: url('+URL.createObjectURL(event.target.files[0])+') no-repeat center center / cover;');
});

И хочу что бы в момент .change выполнялся post запрос к php скрипту, который уже загрузит изображение на сервер. Скажите пожалуйста, как лучше и безопаснее это сделать?

Answer 1

[alexalexes]

На стороне PHP пропустить полученный файл через GD библиотеку.
При необходимости, уменьшить качество выходного файла, и попутно сгенерировать preview, отправив его обратно клиентку (+ подтвердив получение сервером).
Учтите, придется увеличить доступный объем оперативной памяти для одного процесса PHP.
На моем опыте, чтобы GD проглотила 16 Мпикс картинку, нужно 128 Мб ОЗУ.
Перед скармливаем GD взвешиваем картинку с помощью getimagesize().
Если это не сделать, и с превышением лимита отдать на обработку библиотеке, то скрипт тихо-мирно заглохнет, не сообщив клиенту ничего, а так можно сгенерировать сообщение, что файл большой.

Comments

[Андрей Котосин]

Ну тут вроде все понятно (картинку для привью я генерирую как вы могли заметить при помощи JS). А что касается безопасности? Как проверять изображение? По формату, mime типу или как то еще? Потому что очень не хочется что бы пользователь мог отправить вредоносный скрипт вместе с картинкой на сервер.

[Максим Тимофеев]

Лучше php.net/manual/ru/class.imagick.php намного меньше кушает чем GD

[alexalexes]

Нельзя доверять никаким данным, пришедшим от клиента.
Если preview понадобится в будущем, то его все равно генерировать на сервере.
Чтобы сделать файл полностью безопасным, нужно его прочитать как изображение на стороне сервера, вычитать все полотно и сохранить уже отдельно, при необходимости получить известные метаданные, неизвестные - игнорировать при переносе.
У этого подхода есть недостатки:
а) Обработка на сервере - нагрузка на ОЗУ и процессор;
б) Нельзя сравнить файлы, отправленные на сервер и полученные от него, если пользователю потребуется их подписать, вычислив хэш.

Answer 2

[Александр Кубинцев]

Конечно, нужно проверять и mime type, и проверять картинки валидность хотя бы функцией getimagesize(), и делать resize(). Всё это можно при желании загуглить.
Что обычно не пишут так это по поводу нагрузки на сервер при обработке картинки.
Я рекомендую грузить картинки как есть (ограничивая только по размеру файла), при этом если картинки грузятся не одновременно, то можно еще и лок повесить. Далее обработать их уже отдельным процессом асинхронно (по крону например или каким-то менеджером очереди).

Answer 3

[Roman Terekhin]

1) Не доверять ни чему что прилетает в $_FILES;
2) Проверять mime по белым спискам через finfo (тут же и размер файла);
3) Проверять extension из $_FILES по белым спискам, сопоставить с mime;
4) Формировать имя файла и расширение самому;
5) Запретить веб серверу исполнять php в папке где хранится upload;
5.1) В идеале заливать все на отдельный сервер (или сабдомен под другим юзером) чисто для статики, где php вообще отключен.