Материал из Брацка Правки
- Проверка содержания файла изображения.Не всем данным из $_FILES можно доверять: MIME-тип и размер файла можно подделать, т. к. они формируются из HTTP-ответа, а расширению в имени файла не стоит доверять в силу того, что за ним может скрываться совершенно другой файл.
- Проверка расширения загружаемого файла
- После загрузки изображения на сервер проверяется, не превышает ли оно определенные высоту и ширину. Если нет, то просто копируется, если да, то изменяются размеры изображения и оно записывается на диск
- не обслуживать предоставленные пользователем файлы из того же домена, что и веб-страница. Советуют отдельный домен для загрузки.
