Безопасная загрузка картинок, как?

Question

[hooligan377]

Есть код загрузчика:

<?php
  $blacklist = array(".php", ".phtml", ".php3", ".php4", ".html", ".htm");
  foreach ($blacklist as $item)
    if(preg_match("/$item\$/i", $_FILES['somename']['name'])) exit;
  $type = $_FILES['somename']['type'];
  $size = $_FILES['somename']['size'];
  if (($type != "image/jpg") && ($type != "image/jpeg")) exit;
  if ($size > 102400) exit;
  $uploadfile = "images/".$_FILES['somename']['name'];
  move_uploaded_file($_FILES['somename']['tmp_name'], $uploadfile);
?>

Все хоро с безопасностью или что то еще добавить?

Answer 1

[Северное Сияние]

exit;

забудь про exit и почитай про исключения.
получить тип файла - php.net/manual/ru/function.finfo-file.php
проверить как был загружен - php.net/manual/ru/function.is-uploaded-file.php

Comments

[FanatPHP]

Исключения здесь не нужны

Answer 2

[FanatPHP]

Все очень плохо.

Самое главное - черный список никогда не является надёжной защитой. Защищает только белый список.

Плюс файл надо в обязательном порядке переименовывать.

Comments

[hooligan377]

Переписал уже по другому, в данном случае что то еще добавить нужно?

// это папка, в которую будет загружаться картинка
$uploaddir = 'uploads/';

// это имя, которое будет присвоенно изображению
$apend = date('His').rand(100,1000).'.png'; 

$uploadfile = "$uploaddir$apend";

// В данной строке самое важное - проверяем загружается ли изображение (а может вредоносный код?)

if(($_FILES['userfile']['type'] == 'image/png') && ($_FILES['userfile']['size'] != 0 and $_FILES['userfile']['size']<=1048512))// Указываем максимальный вес загружаемого файла 
{ 
  if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) 
   { 
   //Здесь идет процесс загрузки изображения 
   $size = getimagesize($uploadfile); 
   // с помощью этой функции мы можем получить размер пикселей изображения 
     if ($size[0] < 501 && $size[1]<1501) 
     { 
     // если размер изображения не более 500 пикселей по ширине и не более 1500 по  высоте 
     echo "Файл загружен."; 
     } else {
     echo "Загружаемое изображение превышает допустимые нормы (ширина не более - 500; высота не более 1500)"; 
     unlink($uploadfile); 
     // удаление файла 
     } 
   } else {
   echo "Файл не загружен, вернитеcь и попробуйте еще раз";
   } 
}

[FanatPHP]

Странный код.
Он будет затирать уже залитые файлы.
Плюс он даёт всем файлам расширение png без разбору.
Но в целом должно быть безопасно

[hooligan377]

FanatPHP, Так и задумано, загрузка только картинок в формате png, не подходит - удаляет, подходит - перезаписывает имя и на всякий случай формат, вдруг там формат двойной .php.png

[hooligan377]

FanatPHP, на всякий планирую запрет на исполнение скриптов в .htsacces кинуть