न तो फ़ाइल एक्सटेंशन और न ही माइम प्रकार आपको 100% सुरक्षा दे सकता है जिसे आप छवि फ़ाइल से निपट रहे हैं। लेकिन जब तक आप फ़ाइल निष्पादित नहीं करेंगे (उदाहरण के लिए() का उपयोग करके), यह कोई समस्या नहीं है और आपको PHP कोड या अन्य किसी भी चीज़ की जांच करने की आवश्यकता नहीं है। एक जाली छवि फ़ाइल का उपयोग कर कल्पना करने वाला एकमात्र सुरक्षा उल्लंघन कुछ ऐसा होगा जो ब्राउज़र का प्रतिपादन इंजन का शोषण करता है। सर्वर पक्ष से प्रभावी ढंग से रक्षा करना असंभव है और ब्राउज़र विक्रेता की ज़िम्मेदारी है।
तो, जब तक आप आप is_uploaded_file()
और move_uploaded_file()
का उपयोग करते अपलोड से निपटने के लिए सुनिश्चित करें, आप ठीक होना चाहिए, कम से कम छवि प्रारूप के मोर्चे पर। सुनिश्चित करें कि आप नीचे @ बॉबन्स की पोस्ट पढ़ते हैं और लिंक का पालन करते हैं, इसमें फ़ाइलों से निपटने के दौरान अन्य सुरक्षा पहलुओं पर बड़ी जानकारी का एक गुच्छा शामिल है।
हालांकि, आप पूरी तरह से अधिकतम सुरक्षा प्रदान करने के लिए, निश्चित रूप से छवि को जीडी के imagecopy का उपयोग करके छवि को एक नए छवि कंटेनर में कॉपी कर सकते हैं। यह किसी भी ID3 और फ़ाइल में निहित अन्य शीर्षलेख जानकारी मिटा देगा, और शायद किसी भी शोषण प्रयासों को नष्ट कर देगा (जीडी शायद ऐसी फाइल पर चकित होगा और एक त्रुटि लौटाएगा)। यह केवल जीआईएफ, जेपीईजी, और पीएनजी के लिए काम करता है, और आप अल्फा चैनल और रंग प्रोफाइल समस्याओं जैसे कुछ मुद्दों में भाग सकते हैं।
स्रोत
2009-11-29 16:12:30
+1। –