Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB59.2470
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 13.11.2011, 16:43   #1
digg
$400
 
Аватар для digg
 
Регистрация: 17.05.2009
Сообщений: 7,993
Бабло: $1214640
Отправить сообщение для digg с помощью ICQ
По умолчанию PHP проверка файла кртинки, загружаемого на сервер юзером

В двиге юзеры будут загружать свои картинки на сервер, нужно проверить, чтоб это были действительно картинки, чтоб там не было всякого типа

PHP код:
test.gif:
Код:
GIF89ad
<?
echo 'PHP';
?>
и т.п.

кто уже решил эту проблему, поделитесь решением плиз
digg на форуме  
Старый 13.11.2011, 16:48   #2
citrix
конверчу-хуеверчу
 
Аватар для citrix
 
Регистрация: 16.09.2009
Сообщений: 607
Бабло: $103170
По умолчанию

во на хабре статья была норм
http://habrahabr.ru/blogs/php/44610/
__________________
Палят темы DP/BH/WF
Обсуждают SE/GFB/MT
citrix вне форума  
Старый 13.11.2011, 17:10   #3
medar
кодер-энтузиаст
 
Аватар для medar
 
Регистрация: 04.04.2007
Адрес: Джамайка
Сообщений: 3,410
Бабло: $447110
По умолчанию

Средствами веб-сервера (.htaccess или правила nginx) запретить исполнение php в этой папке.
medar вне форума  
Старый 13.11.2011, 17:16   #4
digg
$400
 
Аватар для digg
 
Регистрация: 17.05.2009
Сообщений: 7,993
Бабло: $1214640
ТС -->
Отправить сообщение для digg с помощью ICQ
автор темы ТС По умолчанию

в этой статье и + погуглил еще расписывают в принципе одни и те же методы

проверка типа файла
Цитата:
$_FILES['userfile']['type'] != "image/gif"
- херня, обходится на раз плюнуть

проверка расширения файла gif, jpg, png, bmp

ресайз картинки
Цитата:
imagecreatetruecolor($width, $height);
ну, и скопированному файлу ограничения chmod 0644
// Read and write for owner, read for everybody else

что еще придумать можно?

Цитата:
Сообщение от medar Посмотреть сообщение
Средствами веб-сервера (.htaccess или правила nginx) запретить исполнение php в этой папке.
о, про .htaccess подробнее можно?
digg на форуме  
Старый 13.11.2011, 17:32   #6
digg
$400
 
Аватар для digg
 
Регистрация: 17.05.2009
Сообщений: 7,993
Бабло: $1214640
ТС -->
Отправить сообщение для digg с помощью ICQ
автор темы ТС По умолчанию

Цитата:
Сообщение от dady Посмотреть сообщение
так гуглю, шото ни кто на форумах разных не шарит
народ спрашивает, а однозначно что-то ответа нет

вот вариант - самый распространенный
Цитата:
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
еще такой вариант
Цитата:
ForceType application/octet-stream
<FilesMatch ".gif$
ForceType image/gif
</FilesMatch>
<FilesMatch ".jpe?g$
ForceType image/jpeg
</FilesMatch>
<FilesMatch ".png$
ForceType image/png
</FilesMatch>
и такой
Цитата:
RemoveType php

<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>
и такой
Цитата:
php_value engine 0
какой лучше?

еще предлагают сохранять файлы картинок выше рута и под рандомными именами, которые храянятся еще в базе данных откуда тянутся при запросе юзера
- это ваще перегруз сервака неоправданный

Последний раз редактировалось digg; 13.11.2011 в 17:44.
digg на форуме  
Старый 13.11.2011, 20:54   #7
medar
кодер-энтузиаст
 
Аватар для medar
 
Регистрация: 04.04.2007
Адрес: Джамайка
Сообщений: 3,410
Бабло: $447110
По умолчанию

php_flag engine off
medar вне форума  
Старый 13.11.2011, 21:19   #8
Boddhisatva
Добрых дел мастер
 
Аватар для Boddhisatva
 
Регистрация: 05.12.2009
Адрес: Tibet
Сообщений: 975
Бабло: $145785
По умолчанию

Вариант с хабра - надежней.
Хтакцесс почти всегда можно удалить \ перезаписать.
Boddhisatva вне форума  
Старый 13.11.2011, 21:19   #9
Drunk Monk
Je suis moine ivre
 
Аватар для Drunk Monk
 
Регистрация: 03.03.2009
Сообщений: 15,235
Бабло: $797160052
По умолчанию

lolwut?
__________________
EssayPartner.com. Партнерка по эссе трафу.
Drunk Monk вне форума  
Старый 13.11.2011, 21:35   #10
Boddhisatva
Добрых дел мастер
 
Аватар для Boddhisatva
 
Регистрация: 05.12.2009
Адрес: Tibet
Сообщений: 975
Бабло: $145785
По умолчанию

Prove me wrong !

P.S.
Эдак в 7 из 10 случаев такой трюк проходит, так или иначе.
Иначе не знаю чтоб и делал

P.P.S.
Эксперементирую на своих сайтах, естественно
Boddhisatva вне форума  
Закрытая тема



Опции темы
Опции просмотра