coding4.net Голосов: 1 Адрес блога: http://www.coding4.net/ Добавлен: 2012-06-11 20:16:46

Как повысить безопасность данных при загрузке файлов через PHP ?

2014-11-27 21:15:00 (читать в оригинале)

Большое количество веб-мастеров для загрузки тех или иных файлов на свои ресурсы используют PHP как наиболее удобный, эффективный и надежный способ заливки данных на сайт. Тем не менее, если не обеспечить данному мероприятию должную безопасность, то сайт после размещения на нем тех или иных материалов, останется предоставлен сам себе и фактически открыт для любых недоброжелателей и мошенников. Любой желающий сможет загрузить на него свои php-скрипты или коды, за содержимое которых придется нести ответственность владельцам веб-странички. Чтобы этого не произошло, следует сделать все возможное для обеспечения сайту хорошей защиты. Кстати, подробнее об этом можно тут читать.

Для начала вебмастеру стоит ограничить загрузку на сайт файлов определенного класса, встроив в код простейшую процедуру проверки Content-Type тех данных, которые можно закачивать на него. Благодаря такому ограничению при попытке загрузить на ресурс контент, который может быть для него опасен, система выдаст злоумышленнику соответствующее предупреждение. Правда, он в свою очередь может попробовать создать Perl-скрипт, направленный на то, чтобы обойти это правило и эмулировать пользовательские действия по заливке информации на сайт. Учитывая этот момент, с точки зрения владельца веб-странички логичнее будет усложнить систему безопасности и воспользоваться функцией getimagesize(), которая проверит не только заголовок файла (его Content-Type), но и содержание.

На что способна функция getimagesize()

Предлагаемый способ усиления защиты сайта от загрузки на него опасного контента довольно действенен, но у него есть свои ограничения. Так, функция getimagesize() способна вычислить характер изображения, а также присвоить ему правильные размеры, определить параметры текстовой строки, которые применяются в рамках стандартного тега HTML в IMG.