Безопасные возможности загрузки изображений пользователя в PHP

Question

Я реализую инструмент загрузки изображений на основе пользователя для своего сайта. Система должна позволять любым пользователям загружать только файлы JPEG и PNG. Я, конечно, беспокоюсь о безопасности, и поэтому мне интересно, как многие умные люди, чем я, относятся к следующим проверкам, позволяющим загружать:

1) Первый белый список разрешенных расширений файлов в PHP, чтобы разрешить только PNG, PNG, JPG, JPG и JPEG. Получить расширение файла на пользователя с помощью функции, такие как:

return end(explode(".", $filename)); 

Это должно помочь запретить пользователю от загрузки что-то злонамеренный как .png.php. Если это пройдет, перейдите к шагу 2.

2) Запустите функцию php getimageize() в файле TMP. Через что-то вроде:

getimagesize($_FILES['userfile']['tmp_name']); 

Если это не возвращает false, продолжайте.

3) Убедитесь, что файл .htaccess находится в папке для закачанных файлов, так что любые файлы в этом каталоге не могут разобрать PHP файлов:

php_admin_value engine Off 

4) Переименовать файл пользователя на что-то заранее определенный. И.Е.

$filename = 'some_pre_determined_unique_value' . $the_file_extension; 

Это также поможет предотвратить инъекции SQL, как имя файла будет единственным пользователем определяется переменной в любых запросах, используемых.

Если я выполняю вышеизложенное, насколько уязвим для нападения, я все еще? Прежде чем принимать файл, я должен надеяться, что 1) разрешено только jpg и png, 2) проверено, что PHP говорит, что это допустимое изображение, 3) отключил каталог, в котором находятся изображения из исполняемых файлов .php, и 4) переименовал файл пользователя в нечто уникальный.

Спасибо,

Answer 1

Что касается имен файлов, случайные имена, безусловно, хорошая идея, и отнимают много головной боли.

Если вы хотите полностью убедиться, что контент чист, попробуйте использовать GD или ImageMagick для копирования входящего изображения 1: 1 в новый, пустой.

Это немного уменьшит качество изображения, потому что контент сжимается дважды, но он удаляет любую информацию EXIF, присутствующую в исходном изображении. Пользователи часто даже не знают, сколько информации попадает в раздел метаданных файлов JPG! Информация о камере, положение, время, используемое программное обеспечение ... Это хорошая политика для сайтов, на которых размещаются изображения, чтобы удалить эту информацию для пользователя.

Кроме того, копирование изображения, вероятно, избавит вас от большинства эксплойтов, которые используют ошибочные данные изображения, чтобы вызвать переполнение в программном обеспечении для просмотра, и ввести вредоносный код. Такие манипулируемые изображения, вероятно, просто окажутся нечитаемыми для GD.

Answer 2

Все проверки выглядят хорошо, номер 3 в частности. Если производительность не является проблемой или вы делаете это в фоновом режиме, вы можете попробовать получить доступ к изображению с помощью GD и увидеть, действительно ли это изображение, а не просто куча дерьма, который кто-то пытается заполнить вашим сервером.

Answer 3

Что касается вашего номера 2), не просто проверьте на FALSE. getimagesize также вернет тип mime изображения.Это, безусловно, более безопасный способ проверить соответствующий тип изображения, чем глядя на мима типа клиентские поставки:

$info = getimagesize($_FILES['userfile']['tmp_name']); 
if ($info === FALSE) { 
    die("Couldn't read image"); 
} 
if (($info[2] !== IMAGETYPE_PNG) && ($info[2] !== IMAGETYPE_JPEG)) { 
    die("Not a JPEG or PNG"); 
}