Если записать ссылку другого сайта в БД, есть опасность взлома через него?

Question

[rinaz22]

Всем привет! На сайте хочу добавить возможность добавления авки. Для этого пользователь должен указать ссылку на картинку, который хочет поставить на авку. Если он укажет на какой-нибудь сайт с вредоносным файлом, он сможет вломать мой сайт(загрузить шел, sql инъекция и т.п.)?
Стоит ли сделать проверку? Если да, то был бы рад примерам или статье по этой теме.

Answer 1

[Imrahil]

1) Пилите сами обработку файлов - загружаем в память, проверяем, пересохраняем в нужном формате ни в коем случае не сохраняем на диск в исходном виде.
2) Например используйте https://ru.gravatar.com весьма удобно)

Comments

[rinaz22]

не совсем понял про https://ru.gravatar.com/
что делает это сервис?

[Imrahil]

делает пункт 1 за вас) почитайте документацию и все станет на свои места)

[rinaz22]

Imrahil, т.е. он просто проверяет картинка не картинка и отправляет отчет на мой сайт?

[Imrahil]

нет он его безопасно сохраняет обрабатывает сжимает и тд.
В свою БД вы пишите идентификатор который получили после обработки файла(HASH).
После все профили у вас будут иметь стандартную схему аватара https://www.gravatar.com/avatar/HASH и вы дополнительно можете указать размер например ?s=20 .
Если нужен стандартный аватар можно указать параметр d (default)
d=https://your-domain.com/default-avatar.jpg. В таком случае если аватара с нужным хешем нет будет использоваться дефолтный который вы укажете.

подробнее про параметры https://ru.gravatar.com/site/implement/images/
типовая реализация https://ru.gravatar.com/site/implement/images/php/

[rinaz22]

Imrahil, а, т.е. он получает изображение, обрабатывает и сохраняет у себя, а потом мне дает хеш. Я через этот хеш вывожу изображение?

[Imrahil]

верно

Answer 2

[Василий Пупкин]

В любом случае картинку нужно забирать к себе, проверять и сохранять у себя на сервере. Вы же не хотите потом видеть кучу дыр и тормозов когда внешние сервера отключатся. Вот во время скачивания к себе проверяйте изображение.

Comments

[rinaz22]

Я не хотел загружать картинки на сервер, поэтому и спросил

[Sanes]

rinaz22, а если картинка 100 мбайт?

[Василий Пупкин]

Sanes, речь про авы!

[Sanes]

Василий Пупкин, речь про ссылку на сторонний сервер.

[Василий Пупкин]

Sanes, Не нужно делать вид что непонятно. Авы не делают на 100мб, тот же phpbb закачивает к себе и задает ограничение по размеру.

[Sanes]

Василий Пупкин, не делают, но могут подсунуть. Или вы доверяете пользователю?

[Василий Пупкин]

Sanes, о да. А размер вы проверять не умеете.
Давайте прекратим ;-)

[Sanes]

Василий Пупкин, давай-ка ты перечитаешь комментарии для начала. Автор не хочет загружать на сервер картинки. Он хочет, чтобы пользователь указал прямую ссылку на изображение.

[Василий Пупкин]

Sanes, Дружище, бери себе и давай-ка.

rinaz22, При использовании просто внешних ссылок, не сервисов, вам подсунут ссылку на картинку в 500Mb и вы долго будете думать что это у вас сайт в выдачах упал :)

Кстати сервис граватар может "карту" перемещений e-mail адреса по сайтам строить или нет?

[Sanes]

Василий Пупкин, ты трезвый?

[Василий Пупкин]

Sanes, Да я трезвый. Я свое мнение высказал в ответе.
Можете тут дальше один упражняться в словесности.
За сим, до свидания!

[Sanes]

Василий Пупкин, второй комментарий в ответе был не тебе, а втору. Ты хоть читай иногда, к кому обращаются.

Answer 3

[Виталий]

выделите отдельный сервер под картинки пользователей, а в БД храните просто ссылки на картинки на своём отдельном сервере
хранить ссылки на файлы на внешних ресурсах - имхо не стоит