PHP/MySQL | Безопасность.
Morune 
При загрузке, если все ок, то переименовываем файл и сохраняем его со своим расширением и выводим в <img src="..">.
Это безопасно?
________
посл. ред. 09.02.2019 в 15:11; всего 1 раз(а); by Cezarionis
[xrystalll] (09.02.2019 в 15:11)
Cezarionis, в теории, если изображение никак не обрабатывается то потенциальная опасность есть. Много статей есть о внедрении вредоносного кода в код изображения
Cezarionis, в теории, если изображение никак не обрабатывается то потенциальная опасность есть. Много статей есть о внедрении вредоносного кода в код изображения
Я понимаю, что можно тупо сменить mime-тип и загрузить картинкой с php начинкой. Но файл переименовываем в свое и выводим только в <img> и все, нигде ничего не инклудим и т.д.
[xrystalll] (09.02.2019 в 15:16)
Cezarionis, а от чего потенциально ты хочешь защититься?
Cezarionis, а от чего потенциально ты хочешь защититься?
Явно от шела, xss тут не будет ибо переименовываем в свое имя.
[xrystalll] (09.02.2019 в 15:21)
Cezarionis, ну чтоб наверняка нужно при загрузке с помощью, например gd, imagick, обрабатывать изображение, удалять мета-данные, так как в комментарий можно код вписать, и т.д.
Cezarionis, ну чтоб наверняка нужно при загрузке с помощью, например gd, imagick, обрабатывать изображение, удалять мета-данные, так как в комментарий можно код вписать, и т.д.
Ну ты ведь не запустишь свой shell.png потому что во первых он при загрузке будет hsuzz71hsbs72.png и ты если его запустишь, просто увидишь либо поломанную картинку, либо ошибку. Все.
[xrystalll] (09.02.2019 в 15:32)
Ну вообще, как минимум, вроде есть директива в штекере чтоб не запускались скрипты из определённой папки. Я такое не юзал, надо гуглить
Ну вообще, как минимум, вроде есть директива в штекере чтоб не запускались скрипты из определённой папки. Я такое не юзал, надо гуглить
Спасибо за информацию, сейчас поищу.
RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off
clsque Cezarionis (09.02.2019 в 15:08)
Вот человек может загружать фото: .jpg .jpeg .png и все, больше типов нет.
При загрузке, если все ок, то переименовываем файл и сохраняем его со своим расширением и выводим в <img src="..">.
Это безопасно?
Вот человек может загружать фото: .jpg .jpeg .png и все, больше типов нет.
При загрузке, если все ок, то переименовываем файл и сохраняем его со своим расширением и выводим в <img src="..">.
Это безопасно?
Могу тебе в .jpg RMS запихнуть. нада?
________
посл. ред. 09.02.2019 в 15:45; всего 1 раз(а); by clsque
clsque (09.02.2019 в 15:45)
Cezarionis (09.02.2019 в 15:08)
Вот человек может загружать фото: .jpg .jpeg .png и все, больше типов нет.
При загрузке, если все ок, то переименовываем файл и сохраняем его со своим расширением и выводим в <img src="..">.
Это безопасно?
Могу тебе в .jpg RMS запихнуть. нада?
Cezarionis (09.02.2019 в 15:08)
Вот человек может загружать фото: .jpg .jpeg .png и все, больше типов нет.
При загрузке, если все ок, то переименовываем файл и сохраняем его со своим расширением и выводим в <img src="..">.
Это безопасно?
Могу тебе в .jpg RMS запихнуть. нада?
Пока сомневаюсь в этом, как ты его запустишь?
clsque (09.02.2019 в 15:54)
Cezarionis, как только ты его откроешь.
Cezarionis, как только ты его откроешь.
С чего вдруг его кто-то будет открывать? Да и что такое RMS, что то гугл молчит.
