загрузка изображения на сервер

@lapaliv · Регистрация: 02.10.2011

Студворк — интернет-сервис помощи студентам

Читал очень много статей, как легко можно обходить "защиту" php при загрузке файлов (подмена mime и прочее). Вычитал много полезного, но все-таки решил спросить еще тут, ибо совсем не хочется, быть взломанным. Ребят, если не трудно, гляньте пожалуйста код. Как вы думаете, с точки зрения безопасности, подобный код можно считать безопасным или же здесь есть какие-нибудь дыры (а может он и есть одна сплошная дыра)... В принципе все довольно просто:

HTML5
1
2
3
4
5
<form action="include/upload_img.php" method="post" enctype="multipart/form-data">
  <label for="image"></label>
  <input type="file" name="image" id="image" />
  <input type="submit" name="button" id="button" value="Отправить" />
</form>

И соответственно сам обработчик:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?
if(isset($_FILES['image'])){
    $path_images = 'images';//папка, где будет храниться изображение
    $file = $_FILES['image'];
    $whitelist = array('.jpg','.jpeg','.png','.gif');//список разрешенных расширений файлов
    $i = 0;//счетчик
    foreach($whitelist as $item){
        if(preg_match("/$item\$/i", $file['name'])){//отбрасываем все, что не подходит
            $whitelist = $item;
            $i = 1; break;
        }
    }
    if($i==0){
        echo 'error';
    }
    list($w, $h) = getimagesize($file['tmp_name']);
    $new_img = imagecreatetruecolor($w,$h);
    $image = ($whitelist=='.png'?imagecreatefrompng($file['tmp_name']):($whitelist=='.gif'?imagecreatefromgif($file['tmp_name']):imagecreatefromjpeg($file['tmp_name'])));
    imagecopyresampled($new_img, $image, 0, 0, 0, 0, $w, $h, $w, $h);
    $name = '';
    //генерируем имя для фото
    for($i=0;$i<=10;$i++){
        $a = rand(0,1);
        $name.= chr($a==0?rand(97,122):rand(48,57));
    }
    imagejpeg($new_img,'../'.$path_images.$name.'.jpg',100); //
    echo 'все ок';
}else echo '0';
?>

KOPOJI · 23.10.2012, 09:33

Сообщение от lapaliv

PHP
1
$image = ($whitelist=='.png'?imagecreatefrompng

а что произойдет если это и не png, gif, jpeg? Или, если написано в имени что-нибудь типа script.php.jpg и это скрипт. Регулярку пройдет, файл не создастся, что дальше?

@lapaliv · 23.10.2012, 11:19 **[ТС]**

KOPOJI, согласен..тогда 26 строка будет выглядеть как то так:

PHP
1
2
3
$a = imagejpeg($new_img,'../'.$path_images.$name.'.jpg',100);
if($a)echo 'все ок';
else echo 'файл не прошел';

@Para bellum · 23.10.2012, 11:28

lapaliv, лучше проверять тип изображения с помощью getimagesize()

@lapaliv · 23.10.2012, 12:07 **[ТС]**

Lyodik, если я правильно понял, то 16 строку переделываем так:

PHP
1
2
3
4
list($w, $h, $type) = getimagesize($file['tmp_name']);
if($type!='imagetype_jpeg' && $type!='imagetype_png' && $type!='imagetype_gif'){
echo 'ошибка'; return;
}

@Para bellum · 23.10.2012, 12:43

Да, верно, только вы неверно указали типы. Нужно заменить "imagetype_" на "image/"

KOPOJI · 23.10.2012, 12:44

lapaliv, почитайте про функцию getimagesize - mime возвращает другой формат типа.

Добавлено через 17 секунд

Не по теме:

опять опоздал..

@Para bellum · 23.10.2012, 12:46

И лучше занести допустимые типы в массив:

PHP
1
$enabled_types = array( "image/jpeg", "image/png", "image/gif" );

И проверять так:

PHP
1
2
3
if(!in_array( $type, $enabled_types )){
echo 'ошибка'; return;
}

Легче будет добавлять поддержку новых типов.

@lapaliv · 23.10.2012, 13:32 **[ТС]**

Сообщение от Lyodik

Да, верно, только вы неверно указали типы. Нужно заменить "imagetype_" на "image/"

смотрел тут: http://php.net/manual/ru/function.getimagesize.php. В мануале стоит "imagetype_"

Сообщение от Lyodik

И лучше занести допустимые типы в массив:

PHP
1
$enabled_types = array( "image/jpeg", "image/png", "image/gif" );

И проверять так:

PHP
1
2
3
if(!in_array( $type, $enabled_types )){
echo 'ошибка'; return;
}

Легче будет добавлять поддержку новых типов.

Согласен, спасибо

@Para bellum · 23.10.2012, 13:47

lapaliv, вы не там смотрели. Вы пробуете получить $type 3-им параметром, а mime тип - последний элемент. Замените это:

PHP
1
list($w, $h, $type) = getimagesize($file['tmp_name']);

На это:

PHP
1
$info = getimagesize($file['tmp_name']);

И $info['mime'] будет содержать тип изображения.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	23.10.2012, 11:28
	lapaliv, лучше проверять тип изображения с помощью getimagesize() 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	23.10.2012, 12:43
	Да, верно, только вы неверно указали типы. Нужно заменить "imagetype_" на "image/" 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	23.10.2012, 12:44
	lapaliv, почитайте про функцию getimagesize - mime возвращает другой формат типа. Добавлено через 17 секунд Не по теме: опять опоздал.. 1