Безопасен ли этот код для загрузки картинок на сайт?

Question

[rinaz22]

Всем привет! В интернете нашел код для проверки загружаемого файла. Но сомневаюсь. Данный код действительно защитит от загрузки лишнего(вирусов, шелов и т.п.)?

<?php
  $blacklist = array(".php", ".phtml", ".php3", ".php4", ".html", ".htm");
  foreach ($blacklist as $item)
    if(preg_match("/$item\$/i", $_FILES['somename']['name'])) exit;
  $type = $_FILES['somename']['type'];
  $size = $_FILES['somename']['size'];
  if (($type != "image/jpg") && ($type != "image/jpeg")) exit;
  if ($size > 102400) exit;
  $uploadfile = "images/".$_FILES['somename']['name'];
  move_uploaded_file($_FILES['somename']['tmp_name'], $uploadfile);
?>

Answer 1

[Талян]

Может тогда проще

$whitelist = array(".jpg", ".jpeg", ".png"); //и так далее...
  foreach ($whitelist as $item)
    if(!preg_match("/$item\$/i", $_FILES['somename']['name'])) exit;

Ваш код всё равно не пропустит истинный png, gif, у них $_FILES['somename']['name'] будет другой.

Кроме того $_FILES['somename']['name'] можно отправить через header вообще любой - не важно какой у файла.

Настоящую картинку можно проверить только с помощью getimagesize(), но и расширения проверять необходимо, потому как если по mime-типу картинка будет картинкой, и у неё будет всё что нужно иметь картинке, а в EXIF'e будет PHP код, то он выполнится. С ошибками, но выполнится.

Comments

[rinaz22]

А почему вы в своем коде не использовали getimagesize()?

[Талян]

rinaz22, ну я думал вы сами способны написать

$whitelist = array(".jpg", ".jpeg", ".png", ".gif"); 
  foreach ($whitelist as $item)
    if(!preg_match("/$item\$/i", $_FILES['somename']['name'])) exit;

$whitemime = array("image/jpeg", "image/png", ".image/gif", ".image/jpg");
$info=getimagesize();
$mimetype=$info['mime'];
  foreach ($whitemime as $item_mime)
    if(!preg_match("/$item_mime\$/i", $mimetype)) exit;

$type = $_FILES['somename']['type'];
  $size = $_FILES['somename']['size'];
  if (($type != "image/jpg") && ($type != "image/jpeg")) exit;
  if ($size > 102400) exit;
  $uploadfile = "images/".$_FILES['somename']['name'];
  move_uploaded_file($_FILES['somename']['tmp_name'], $uploadfile);

Всякие BMP и т.д. добавляйте по мере того, нужны они вам или нет. Я например BMP не разрешаю себе загружать =)

[rinaz22]

Анатолий Цивилёв, а ваш код надёжный?)

[Талян]

rinaz22,
1) проверка по расширению: можно только неисполняемые файлы
2) проверка по содержимому - можно только картинки

Да, безопасный.

Вторая проверка нужна, чтобы при дальнейшей работе с изображениями (обрезка, уменьшение размера) у вас не было ошибок.

[rinaz22]

Анатолий Цивилёв, а какое имя нужно указать для input file?

[Талян]

rinaz22, судя по вашему же коду - somename ))))

[rinaz22]

Анатолий Цивилёв, не работает. Всегда первое условие ошибку выводит

[Талян]

rinaz22, сейчас у себя поверю

[Талян]

rinaz22, я не разбираюсь в регулярных выражениях, переделал как знаю. до этого ваш пример использовал, у мня он тоже не заработал. Разбираться в чем ошибка в выражении не получится.

Размер файла я ввёл от балды - поменяйте.

Вот такой вариант более лаконичен:

<?
if(isset($_FILES['somename']['tmp_name']))
{
	print $_FILES['somename']['name'];
$whitelist = array(".jpg", ".jpeg", ".png", ".gif"); 
if(!preg_match('~(' . implode('|', $whitelist) . ')$~', $_FILES['somename']['name'])) exit;

$whitemime = array("image/jpeg", "image/png", ".image/gif", ".image/jpg");
$info=getimagesize($_FILES['somename']['tmp_name']);
$mimetype=$info['mime'];

if(!in_array($mimetype,$whitemime)) exit;
if(!in_array($_FILES['somename']['type'],$whitemime)) exit;

$type = $_FILES['somename']['type'];
$size = $_FILES['somename']['size'];

  if ($size > 102400789986) exit;
  print $_FILES['somename']['type'];
  $uploadfile = "images/".$_FILES['somename']['name'];
  move_uploaded_file($_FILES['somename']['tmp_name'], $uploadfile);
	

}

  ?>
  <form method="POST" enctype="multipart/form-data">
  <input type="file" name="somename">
  <input type=submit>
  </form>

Answer 2

[Дмитрий]

Ну первое что приходит в голову, это конечно же проверка на getImageSize
Второе , как я реализовал в своей библиотеке, это не обработка по расширению, а обработка байтов картинки, то есть получить ресурс из файла. Если это не картинка, оно сразу поломается
https://github.com/Compolomus/Compomage
Если кому интересно, присоединяйтесь
php.net/manual/ru/function.imagecreatefromstring.php

Comments

[rinaz22]

Не совсем понял. Что значит получить ресурс из файла?

[Дмитрий]

rinaz22, изображение это ресурс. Тип переменной, можно так сказать
php.net/manual/ru/language.types.resource.php
То есть открытый файл, соединение с бд, изображение, и ... - это ресурс