Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: Чтобы злобный хакер вместо фотки не послал бы мне какой нибудь подлый скрипт.... проверяйте расширение +   http://us2.php.net/manual/en/function.image-type-to-mime-type.php или инфа из   http://us2.php.net/manual/en/function.getimagesize.php ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 01:20 01-07-2009

israel_rider Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вот, сделал поиск на "getimagesize", и нашёл в точности то, что искал!   http://forum.dklab.ru/viewtopic.php?t=26754 Всего записей: 925 | Зарегистр. 28-07-2007 | Отправлено: 01:38 01-07-2009

israel_rider Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Уважаемые Проффессионалы! Вот что у меня в результате получилось. Был бы счастлив выслушать ваши замечания.   <?php if (!isset($_POST['fotobook'])) header("Location:book.php");        // Если юзер нажал кнопку "Загрузка файлов" что бы загрузить файл if ($_FILES["imyfaila"]["size"] > 1024*2*1024) {                       // Проверяем размер     echo "<h1 STYLE='color:red;'>Размер файла превышает 2 мегабайта.</h1><h2><a href=# onClick='history.back()'>Вернуться к отправке</а></h2>";     exit(); }     $prvrkimya = trim($_FILES["imyfaila"]["name"]);                  // Убираем пробелы с начала и конца оригинального имени фотки $prvrkimya = substr($prvrkimya, -15);                             // Обрезаем оригинальное имя до 15-и знаков с конца   if (stristr($prvrkimya, '.') !== '.jpg') {                       // Проверяем расширение оригинального имени     echo "<h1 STYLE='color:red;'>Это походу не фотка ни хрена... </h1><h2><a href=# onClick='history.back()'>Вернуться к отправке</а></h2>";     exit(); }     $prvrkfaila = getimagesize($_FILES['imyfaila']['tmp_name']);//Проверяем, не (removed) ли с размером и расширением подделов "Content-Type" if ($prvrkfaila > 1024*2*1024  or $prvrkfaila['mime'] != 'image/jpg') {     echo "<h1 STYLE='color:red;'>Чёто не тое... </h1><h2><a href=# onClick='history.back()'>Вернуться к отправке</а></h2>";     exit();     } move_uploaded_file($_FILES['imyfaila']['tmp_name'], "knigajiz/vremenni.jpg"); // Если фотка всё выдержала, помещаем её в папку под временным именем if($_FILES['imyfaila']['error'] > 0) {     echo "<h1 STYLE='color:red;'>Есть ошибки</h1><h2><a href=# onClick='history.back()'>Вернуться к отправке</а></h2>";     exit();     } unlink($_FILES['image']['tmp_name'];                                               // Уничтожаем фотку во временной директории ?>                                                                                                                   п. 2.3. главы VIII Соглашения по использованию /Cheery/ Думать есть чем? Всего записей: 925 | Зарегистр. 28-07-2007 | Отправлено: 08:51 02-07-2009 | Исправлено: Cheery, 19:45 02-07-2009

israel_rider Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору zerkms! Огромный сенкс за помощь и поддержку! Переписываю! Но, плиз, несколько вопросов. «3. лапша %» - Не понял вообще, о чём ты. «7. имена всех переменных поменять на релевантные и переведённые на английский язык» Дело в том, что мне так очень удобно. Когда я даю переменным левые имена, я точно знаю, что они у меня не повторяться. У меня уже и так голова пухнет, каждый раз, когда приходиться придумывать имя для переменной. А не называл ли я так уже что нибудь. И не только переменные. Каждый раз, когда придумываешь имя класса CSS, та же проблема. «4. тип файла нужно брать не из mime, а из того, что возвращает getimagesize» Вообще беда . Пишу   $prvrkfaila = getimagesize($_FILES['imyfaila']['tmp_name']);   echo image_type_to_mime_type($prvrkfaila); А он у меня пишет «image/gif». И это то при том, что я загружаю реальную фотографию с расширением «jpg»!!!!     Добавлено: Вот, переписал. То, что понял из твоих замечаний, изменил. <?php if (!isset($_POST['fotobook'])) header("Location:book.php");        // Если юзер нажал кнопку "Загрузка файлов" что бы загрузить файл if ($_FILES["imyfaila"]["size"] > 1024*2*1024) {                       // Проверяем размер     echo "<h1 STYLE='color:red;'>Размер файла превышает 2 мегабайта.</h1><h2><a href=\"#\" onclick='history.back()'>Вернуться к отправке</а></h2>";     exit(); }     $prvrkimya = trim($_FILES["imyfaila"]["name"]);                  // Убираем пробелы с начала и конца оригинального имени фотки $prvrkimya = substr($prvrkimya, -15);                             // Обрезаем оригинальное имя до 15-и знаков с конца   $asdfg = pathinfo($prvrkimya); if ($asdfg['extension'] !== 'jpg') {                       // Проверяем расширение оригинального имени     echo "<h1 STYLE='color:red;'>Это походу не фотка ни хрена... </h1><h2><a href=# onClick='history.back()'>Вернуться к отправке</а></h2>";     exit(); } $prvrkfaila = getimagesize($_FILES['imyfaila']['tmp_name']);//Проверяем, не (removed) ли с  расширением подделов "Content-Type" if ($prvrkfaila['mime'] != 'image/jpeg') {     echo "<h1 style='color:red;'>Чёто не тое... </h1><h2><a href=\"#\" onclick='history.back()'>Вернуться к отправке</a></h2>";     echo '<br/><br/><br/>'.$prvrkfaila['mime'];     exit();     } move_uploaded_file($_FILES['imyfaila']['tmp_name'], "knigajiz/vremenni.jpg"); // Если фотка всё выдержала, помещаем её в папку под временным именем ?> п. 2.3. главы VIII Соглашения по использованию /Cheery/ Всего записей: 925 | Зарегистр. 28-07-2007 | Отправлено: 13:00 02-07-2009 | Исправлено: Cheery, 19:45 02-07-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: Работать не может, поскольку getimagesize(); возвращает числовой массив, а не ассоциативный. Я же прочитал совсем другое, мануал РНР процитирован выше.   Цитата: <?php   print_r(getimagesize("image.png"));   ?>   ответ Цитата: Array ( [0] => 259 [1] => 32 [2] => 3 [3] => width="259" height="32" [bits] => 8 [mime] => image/png )   Цитата: Вопрос, это имелось в виду? имелось в виду - для безопасности. ресайз приводит к потере качества, без него для безопасности можно и отрубить ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 00:46 03-07-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: При определённых настройках сервера он может обрабатывать графические файлы как файлы РНР очень и очень редко. почти никогда, а уже если так настроил админ - его проблемы CGI в принципе запрещать надо. ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 01:17 03-07-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: Можно регулярное выраженице готовенькое? PHP: Регулярные выражения (RegExp, Regular, eregi, preg)   Цитата: И эти большие куски текста сказано проверять так: это - не проверка. а всего лишь замена кавычек на их html entities   Цитата: Вопрос. Если текстарея я всё равно не проверяю при помощи регулярных выражения, какой смысл проверять при помощи регулярных выражений что то другое? Злоумышленник, то, что он захочет ввести введёт через текстареа. Так тогда уж всё можно проверять при помощи только htmlspecialchars()? Выходит, если я хоть гдето не проверяю при помощи регулярных выражений, я могу тогда в данном коде не использовать их вообще?   проверяете что??? с этим определитесь сначала. зачем что то писать, если не понимаете от чего защищает? при введенных данных вам нужно 1) защититься от ввода html тегов (XSS) 2) защита от SQL injection в SQL вот и все.. первое - htmlentities или htmlspecialchars   второе - mysql_real_escape_string ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 01:23 03-07-2009 | Исправлено: Cheery, 01:32 03-07-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider а если массив?   ну это смотря что посылаться для проверки будет. Цитата: А как же мне защититься от XSS-атаки, если злоумышленник ввдодит мне в поле формы скрипт, написанный в кодировке UTF-7? Функция htmlspecialchars() в этим случае мне не поможет где об этом написано? делайте сайт в UTF-8 и работайте с этой кодировкой ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 20:35 04-07-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: что браузер, встретив символы UTF-7, может переключиться на неё с чего бы, если это будет в каком то куске страницы? если, конечно, не разрешаете вставлять что то в head область страницы но ведь вы же выдаете content-type с кодировкой? ему предпочтение и будет отдаваться ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 20:48 04-07-2009

Страницы: 1 2 3 4 5 6 7 8 9 10

Компьютерный форум Ru.Board » Интернет » Web-программирование » DEL

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование