Такой вопрос:
У меня есть загрузка картинок на сайт. Разрешенные типы: jpg,png,jpeg.
Файл загрузили, имя записали в бд, и в указанном месте через <img src> вывели.
Так вот, если возможность тут загрузить шелл и как от него уберечся.
Нагуглил немного, но там в общем о всех типах файлов, а мне интересны мои.
Вроде все из трех выше обрабатываются и сервер понимает их тип. А вот gif я так понял он не понимает?

Cezarionis, всё тот чел бушует?) Ну думаю если разрешены эти типы, то больше ничего страшного он не зальёт, только если расширение шелла не переименует на указанные типы, но думаю толка от этого для него не будет)

перечисляй типы, вот пример
if ($_FILES['filename']['type']!='image/png'){ошибка}

Для этого htaccess есть

Нет, вы меня с кем то перепутали.

Я же описал, что проверка на типы у меня есть, три типа. Вообщем похоже тут нет дырки.

Cezarionis, xss тоже фикси чтоб нельзя было подставить левые данные)

А что там кроме имени файла фильтровать то?

Cezarionis, при выводе данных тоже фильтруй хсс

Зачем если вывод с базы? В базу уже чистым зашло.