Меры безопасности загрузки файла на сервер:меры безопасности загрузки файла на сервер — различия между версиями

Версия 06:36, 26 сентября 2018

Безопасность загрузки изображений сводится к недопущению попадания на сервер чужеродного кода и его выполнения.

Проверка содержания файла изображения
Проверка расширения загружаемого файла
После загрузки изображения на сервер проверяется, не превышает ли оно определенные высоту и ширину. Если нет, то просто копируется, если да, то изменяются размеры изображения и оно записывается на диск
не обслуживать предоставленные пользователем файлы из того же домена, что и веб-страница. Советуют отдельный домен для загрузки.
Не всем данным из $_FILES можно доверять: MIME-тип и размер файла можно подделать, а расширению в имени файла не стоит доверять в силу того, что за ним может скрываться совершенно другой файл.

@@ Строка 1: / Строка 1: @@
+Безопасность загрузки изображений сводится к недопущению попадания на сервер чужеродного кода и его выполнения.
 :*Проверка содержания файла изображения
 :*Проверка расширения загружаемого файла
 :*После загрузки изображения на сервер проверяется, не превышает ли оно определенные высоту и ширину. Если нет, то просто копируется, если да, то изменяются размеры изображения и оно записывается на диск
 :*не обслуживать предоставленные пользователем файлы из того же домена, что и веб-страница. Советуют отдельный домен для загрузки.
+:*Не всем данным из $_FILES можно доверять: MIME-тип и размер файла можно подделать,  а расширению в имени файла не стоит доверять в силу того, что за ним может скрываться совершенно другой файл.