היי, מישהו ראה את הקוד שלי שבודק העלאת תמונות, ומסנן החוצה קבצים חשודים, והוא טוען שהקוד שלי מוגזם, וכדי לוודאות שהקובץ הוא אכן תמונה כל, אבל כל מה שצריך לעשות זה לעשות GETIMAGESIZE וכך לראות אם הקובץ לא טופל.
על השיטה הזו שמעתי רבות, ואני משתמש בה בנוסף לבדיקות נוספות.
השאלה אם זה באמת מספיק לבד, בלי שום בדיקה נוספת.
מה אתם אומרים?

5 תשובות

avatar ענה intval ב 31 ליולי 2013 #

יש בכלל בדיקות אחרות לוודא שקובץ הוא תמונה?
מה שכדאי לעשות אחרי הבדיקה - זה לפתוח את הקובץ עם gd או image magic ולשמור מחדש.
ככה כל הנתונים שלא שייכים לייצוג גרפי - בכלל לא יישמרו.

avatar ענה mmm ב 01 לאוגוסט 2013 #

את זה אני כבר עושה ממילא, בלי קשר לאבטחה, אתה אומר שזה מספיק? מצויין.
תודה רבה :)

avatar ענה shlomo120 ב 01 לאוגוסט 2013 #

מה לגבי finfo ?[url=http://phpguide.co.il/%D7%90%D7%9C+%D7%AA%D7%AA%D7%9F+%D7%9C%D7%A8%D7%9E%D7%95%D7%AA+%D7%90%D7%AA+%D7%A2%D7%A6%D7%9E%D7%9A+_+%D7%91%D7%93%D7%95%D7%A7+%D7%A0%D7%9B%D7%95%D7%9F+%D7%90%D7%AA+%D7%A1%D7%95%D7%92+%D7%94%D7%A7%D7%95%D7%91%D7%A5.htm]
http://phpguide.co.il/%D7%90%D7%9C+%D7%AA%D7%AA%D7%9F+%D7%9C%D7%A8%D7%9E%D7%95%D7%AA+%D7%90%D7%AA+%D7%A2%D7%A6%D7%9E%D7%9A+_+%D7%91%D7%93%D7%95%D7%A7+%D7%A0%D7%9B%D7%95%D7%9F+%D7%90%D7%AA+%D7%A1%D7%95%D7%92+%D7%94%D7%A7%D7%95%D7%91%D7%A5.htm[/url]

avatar ענה intval ב 01 לאוגוסט 2013 #

getImageSize עושה בדיקה של mimeType על הדרך

avatar ענה liorel100 ב 05 לאוגוסט 2013 #

למה לא finfo?