Меры безопасности загрузки файла на сервер:меры безопасности загрузки файла на сервер — различия между версиями
Natly0909 (обсуждение | вклад) |
Natly0909 (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
+ | Безопасность загрузки изображений сводится к недопущению попадания на сервер чужеродного кода и его выполнения. | ||
:*Проверка содержания файла изображения | :*Проверка содержания файла изображения | ||
:*Проверка расширения загружаемого файла | :*Проверка расширения загружаемого файла | ||
:*После загрузки изображения на сервер проверяется, не превышает ли оно определенные высоту и ширину. Если нет, то просто копируется, если да, то изменяются размеры изображения и оно записывается на диск | :*После загрузки изображения на сервер проверяется, не превышает ли оно определенные высоту и ширину. Если нет, то просто копируется, если да, то изменяются размеры изображения и оно записывается на диск | ||
:*не обслуживать предоставленные пользователем файлы из того же домена, что и веб-страница. Советуют отдельный домен для загрузки. | :*не обслуживать предоставленные пользователем файлы из того же домена, что и веб-страница. Советуют отдельный домен для загрузки. | ||
+ | :*Не всем данным из $_FILES можно доверять: MIME-тип и размер файла можно подделать, а расширению в имени файла не стоит доверять в силу того, что за ним может скрываться совершенно другой файл. |
Версия 06:36, 26 сентября 2018
Безопасность загрузки изображений сводится к недопущению попадания на сервер чужеродного кода и его выполнения.
- Проверка содержания файла изображения
- Проверка расширения загружаемого файла
- После загрузки изображения на сервер проверяется, не превышает ли оно определенные высоту и ширину. Если нет, то просто копируется, если да, то изменяются размеры изображения и оно записывается на диск
- не обслуживать предоставленные пользователем файлы из того же домена, что и веб-страница. Советуют отдельный домен для загрузки.
- Не всем данным из $_FILES можно доверять: MIME-тип и размер файла можно подделать, а расширению в имени файла не стоит доверять в силу того, что за ним может скрываться совершенно другой файл.