Такое копирование изображений нормально?

Question

[Albert Kazan]

$content = file_get_contents($imgurl);
if ($content) {
	$download_file_name = md5(microtime() . '_umc' . ENC_SALT . '_rand' . rand(0,99));
	$path = '/res/images/uploads/' . $download_file_name . '.png';
	file_put_contents(ROOT . $path, $content);
}

И как ограничить на 2мб?

Comments

[Дмитрий]

Добрый вечер.
Для загрузки и копирования изображений есть специальные функции.
Чтобы ограничить размер для копируемого изображения делайте проверку размера.

Answer 1

[Дмитрий]

https://www.php.net/manual/ru/function.filesize.php
https://www.php.net/manual/ru/function.get-headers.php

Answer 2

[Page-Audit.ru]

Вот таким макаром на сайт попадают шеллы, бэкдоры и прочие зловреды!
Перед сохранением изображения обязательно загрузите его в imagecreate и пересохраните, чтобы уничтожить возможный внедрённый в картинку код.
Конечно, при условии, что источник картинок не является доверенным.

Comments

[Albert Kazan]

А если я вот так скопирую на сервер, затем через библиотеку Imagine создам другое изображение и удалю то что скачивал? Тогда не опасно?

[Page-Audit.ru]

Albert Kazan, тогда не опасно, только то, что скопировали на сервер никогда не кладите в папку, доступную через веб. Иначе может случиться следующий сценарий:
1. Вы копируете на сервер файл картинки со встроенным бэкдором
2. Пытаетесь его прогнать через библиотеку
3. Происходит необрабатываемый эксепшен (сбой библиотеки, завершение скрипта по таймауту, нехватка памяти и т.п.)
4. Программа вылетает, файл со зловредом остаётся в общедоступной папке
5. Злоумышленник пользуется залитым заражённым файлом