Ne dosya uzantısı ne de mime türü bir görüntü dosyası ile uğraştığınız% 100 güvenlik sağlayabilir. Ancak dosyayı yürütmeyeceğiniz sürece (örneğin, include() kullanarak), bu bir sorun değildir ve PHP kodunu veya başka bir şeyi kontrol etmeniz gerekmez. Sahte bir görüntü dosyası kullanarak hayal edilebilecek tek güvenlik ihlali, tarayıcının görüntü oluşturma motorunu istismar eden bir şey olacaktır. Bu, sunucu tarafında etkili bir şekilde koruma sağlamak ve tarayıcı satıcısının sorumluluğundadır.
Yüklemeyi kullanırken, is_uploaded_file()
ve move_uploaded_file()
numaralı sayfaları kullandığınızdan emin olduğunuz sürece, en azından resim biçimi ön yüzünde iyi durumda olmalısınız. Aşağıda @ bobince adlı gönderiyi okuduğunuzdan ve bağlantıyı takip ettiğinizden emin olun, dosyalar ile uğraşırken diğer güvenlik özellikleri hakkında bir sürü harika bilgi içerir.
Tamamen maksimum güvenlik sağlamak için elbette GD imagecopy'u kullanarak görüntüyü yeni bir görüntü kabına kopyalayabilirsiniz. Bu, dosyada yer alan herhangi bir ID3 ve diğer başlık bilgisini silecek ve muhtemelen herhangi bir exploit denemesini yok edecektir (GD muhtemelen böyle bir dosyayı tıkayacak ve bir hata döndürecektir). Bu, tabii ki GIF, JPEG ve PNG için çalışır ve alfa kanalı ve renk profili sorunları gibi bazı sorunlarla karşılaşabilirsiniz.
+1. –