Sql инъекции и вредоносные файлы через base64

@djason · Регистрация: 23.08.2012

Студворк — интернет-сервис помощи студентам

Здравствуйте друзья. Возник такой вопрос. Возможно ли через base64 сделать sql инъекцию или занести вредоносный скрипт на сайт. Дело в том что я загружаю картинку на сервер через js

JavaScript
1
img = context.canvas.toDataURL('image/jpeg', 1.0);

На сервере принимаю методом POST таким обраом

PHP
1
2
$img = str_replace('data:image/jpeg;base64,', '', $_POST['img']);
$img = base64_decode($img);

Конечно же, после обработки файла, я даю рандомное имя файлу и расширение .jpg, избавляя себя от мысли что он будет с расширением .php, но меня все ровно смущает то, что данные от пользователя я никак не отфильтровал и не проверил, во первых потому что не знаю как это делается, а во вторых нужно ли это вообще?
Насколько опасен данный способ загрузки картинки на сервер?

@plohoyav · 07.07.2017, 22:31

Обычно файл с расширением jpg не опасен, опасно включить обработчик php для файлов jpg через htaccess

@Para bellum · 08.07.2017, 08:35

Сообщение от djason

во первых потому что не знаю как это делается

Так, например: http://php.net/manual/ru/function.finfo-buffer.php

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	07.07.2017, 22:31
	Обычно файл с расширением jpg не опасен, опасно включить обработчик php для файлов jpg через htaccess 1