Как узнать файл это картинка или нет

@mozg-bolit · Регистрация: 20.09.2014

Author24 — интернет-сервис помощи студентам

делаю загрузку файлов, есть вариант, но столкнулся с проблемой, файл картинка не показывает тип $_FILES['userfile']['type'] вообще... Может у кого есть другие решения?

PHP

if(($_FILES['userfile']['type'] == 'image/jpg' || $_FILES['userfile']['type'] == 'image/gif' || $_FILES['userfile']['type'] == 'image/jpeg' || $_FILES['userfile']['type'] == 'image/png') && ($_FILES['userfile']['size'] != 0 and $_FILES['userfile']['size']<=8388608))

@~~miketomlin~~ · 18.09.2016, 16:35

По расширению.

Добавлено через 1 минуту
Вам в любом случае нужно делать проверку по расширению, чтобы не загрузили серверные скрипты и т.п.

@Jewbacabra · 18.09.2016, 16:43

Проверять размер функцией getimagesize, если функция вернула false - это не картинка.

@Max Dark · 18.09.2016, 16:49

mozg-bolit, используйте класс finfo для определения MIME

PHP

<?php
 
$info = new \finfo(FILEINFO_MIME_TYPE);
$mime = $info->file(__FILE__);
list($type, $subtype) = explode('/', $mime, 2);
 
var_dump($mime, $type, $subtype);

@JimUSA · 18.09.2016, 17:06

mozg-bolit,

PHP/HTML

<?php
 
header("Content-Type: text/html;charset=windows-1251");
 
$up_exp = array('png', 'jpg', 'gif');
 
if($_SERVER['REQUEST_METHOD'] === 'POST') {
    try
    {
        $file = $_FILES['file'];
        $name = $file['name'];
        $type = strtolower(end(explode('.', $name)));
        if(!in_array($type, $up_exp))
            throw new Exception('Вы пытаетесь загрузить недоступный формат!');
        echo 'Файл успешно прошел проверку!';
    }catch(Exception $e) {
        echo '<p>Error: ' . $e->getMessage() . '</p>';
    }
}
 
?>
<form action="" method="POST" enctype="multipart/form-data">
    <input type="file" name="file" />
    <br />
    <button>Upload</button>
</form>

@Jewbacabra · 18.09.2016, 17:43

Сообщение от JimUSA

$type = strtolower(end(explode('.', $name)));

PHP

1	$type = pathinfo($name, PATHINFO_EXTENSION);

@Custos · 18.09.2016, 20:03

Сообщение от Jewbacabra

Проверять размер функцией getimagesize, если функция вернула false - это не картинка.

Лучше exif_imagetype

@Detektor · 19.09.2016, 00:11

я проверяю сами "буквы" в имени файла: если буквы jpg есть в имени файла,если есть буквы gif в имени файла

сам придумал,не хочу использовать этот "filename[type]" )

PHP

if(!preg_match('/mp3/',$u->file['name']) & !preg_match('/wav/',$u->file['name']) & !preg_match('/m4a/',$u->file['name']) & !preg_match('/gif/',$u->file['name']) & !preg_match('/png/',$u->file['name']) & !preg_match('/JPG/',$u->file['name']) & !preg_match('/jpg/',$u->file['name']) & !preg_match('/jpeg/',$u->file['name']) & !preg_match('/flv/',$u->file['name']) & !preg_match('/mp4/',$u->file['name']) & !preg_match('/avi/',$u->file['name'])) { 
 
 if(fwrite($openchatdb,date("G:i:s ")."Пользователь: ".$t." закачал файл: <a target=_blank href=http://liozenda.ru/sound/".$u->file['name']. ">".$u->file['name']."</a></font>\n")) {  }
}

@Jewbacabra · 19.09.2016, 00:58

PHP

!preg_match('/mp3/',$u->file['name']) & !preg_match('/wav/',$u->file['name']) & !preg_match('/m4a/',$u->file['name']) & !preg_match('/gif/',$u->file['name']) & !preg_match('/png/',$u->file['name']) & !preg_match('/JPG/',$u->file['name']) & !preg_match('/jpg/',$u->file['name']) & !preg_match('/jpeg/',$u->file['name']) & !preg_match('/flv/',$u->file['name']) & !preg_match('/mp4/',$u->file['name']) & !preg_match('/avi/',$u->file['name']

1) & и && - не одно и тоже
2) например такой файл пройдет проверку: mp3.php
3) Тогда уж

PHP

1	!preg_match('/.+\.(mp3\|wav\|m4a\|и т.д)$/', $u->file['name']);

@nobodyvlv · 19.09.2016, 11:54

Использовать проверку вхождения ключевого слова расширение файла - плохая практика. Как написано выше - проверять MIME type файла

@JimUSA · 19.09.2016, 14:05

nobodyvlv, и что же плохого?

@nobodyvlv · 19.09.2016, 18:54

Сообщение от JimUSA

nobodyvlv, и что же плохого?

Залить вредоносный скрипт под "проверяемым" расширением не составит труда. Речь идет о безопасности ресурса, а быть может и всего сервера хостинга где крутится первый.

@~~miketomlin~~ · 19.09.2016, 19:11

nobodyvlv, вы не совсем правы. Сам MIME-тип часто определяется по расширению, так что это вас не спасет.

Добавлено через 1 минуту

Сообщение от nobodyvlv

Залить вредоносный скрипт под "проверяемым" расширением не составит труда.

Залить не составит, но это хотя бы воспрепятствует его выполнению.

@nobodyvlv · 19.09.2016, 23:10

Сообщение от miketomlin

nobodyvlv, вы не совсем правы. Сам MIME-тип часто определяется по расширению, так что это вас не спасет.

Сменить вручную расширение, залить какой-то шелл и выполнить - вот цена проверки по расширению. Конкретно тот класс finfo_file() судя по документации читает байт массив заголовка файла и по нему определяет тип содержимого, а не по расширению. Это не раз разжовывалось и на форумах, и на хабре, и на stackoverflow - я просто не буду повторяться и пересказывать уже сказанные вещи. Да, может и не выполниться, но это при условии выставленных прав.

Вот выше человек тоже замечательную функцию предложил exif_imagetype() для заливаемых изображений.

Можно поступать иначе, если взять в рассчет "магические числа" https://en.wikipedia.org/wiki/... gic_number. Прочесть первые несколько байт и проверить по таблице нужные форматы https://en.wikipedia.org/wiki/... signatures. Но как по мне это садомазо, но имеет место жить и оно))

@~~miketomlin~~ · 19.09.2016, 23:21

Выполнить не получится при вменяемых настройках.

@Зверушь · 20.09.2016, 11:19

Не проверяйте по расширению. Я легко создам php файл с вредоносным кодом cool_image.png и залью его на сайт в этом случае. А потом у вас на сайте будет выводится такой html:

HTML5

1	<img src="uploads/cool_image.png" />

Скрипт мне на почту сольет всю вашу базу данных. А еще лучше удалит ее, чтобы никогда больше так не делали

И самое интересное, в конец файла я запихну такой код:

PHP

$img = imagecreatetruecolor(1, 1);
$bg = imagecolorallocate($img, 255, 0, 255);
imagecolortransparent($img, $bg);
imagefilledrectangle($img, 0, 0, 1, 1, $bg);
header('Content-Type: image/png');
header("Expires: Thu, 19 Feb 1998 13:24:18 GMT");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-cache, must-revalidate");
header("Cache-Control: post-check=0,pre-check=0");
header("Cache-Control: max-age=0");
header("Pragma: no-cache");
echo imagepng($img);
exit();

Для пользователя и правда будет загружаться картинка

Никто ничего не заметит.

Добавлено через 6 минут
И если логин и пароль от БД получить не удастся (обычно они хранятся в одном из файлов), то можно со злости грохнуть все файлы

@nobodyvlv · 20.09.2016, 12:04

Сообщение от miketomlin

Выполнить не получится при вменяемых настройках.

А я о чем написал??

Сообщение от nobodyvlv

Да, может и не выполниться, но это при условии выставленных прав.

Спасибо, что поддержали мои слова)

Сообщение от Зверушь

Не проверяйте по расширению.

По этому поводу я и спорю, что это не лучшая практика.

@mozg-bolit · 25.09.2016, 20:55 **[ТС]**

Пожалуйста можете скинуть пример с функцией exif_imagetype() ??

@Para bellum · 25.09.2016, 21:07

Сообщение от mozg-bolit

пример с функцией exif_imagetype()

http://php.net/manual/ru/funct... e-examples

@mozg-bolit · 25.09.2016, 22:42 **[ТС]**

Почему картинка выдает ошибку, я её как то не правильно переименовываю, почему картинка не показывается ?

PHP

if (exif_imagetype($_FILES['uploadfile']['tmp_name']) != IMAGETYPE_GIF and exif_imagetype($_FILES['uploadfile']['tmp_name']) != IMAGETYPE_JPEG and exif_imagetype($_FILES['uploadfile']['tmp_name']) != IMAGETYPE_PNG) {
    echo 'Для загрузки доступны только картинки формата GIF,JPEG и PNG'; 
 exit;
}
 
 
//папка для загрузки
$uploaddir = 'download/'.$_SESSION['id'].'/';
//новое сгенерированное имя файла
$newFileName='1.png';
//путь к файлу (папка.файл)
$uploadfile = $uploaddir.$newFileName;
 
//загружаем файл move_uploaded_file
if (move_uploaded_file($_FILES["uploadfile"]["tmp_name"], $uploadfile))
 echo "Выбранный файл загружен.\n";
else
 echo "Ошибка загрузки файла.\n";
 
//считываем содержания файла
$fp = fopen($uploadfile, 'r');
$contents = fread($fp, filesize ($uploadfile));
fclose($fp);
 
//чистим от php и html дескрипторов
$contents = strip_tags($contents);
$fp = fopen($uploadfile, 'w');
fwrite($fp, $contents);
fclose($fp);
echo'<img src="https://www.cyberforum.ru/'.$uploadfile.'" />';

@~~miketomlin~~ Заблокирован
	19.09.2016, 23:21	15
	Выполнить не получится при вменяемых настройках. 0

@~~miketomlin~~ Заблокирован
	18.09.2016, 16:35	2
	По расширению. Добавлено через 1 минуту Вам в любом случае нужно делать проверку по расширению, чтобы не загрузили серверные скрипты и т.п. 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	18.09.2016, 16:43	3
	Проверять размер функцией getimagesize, если функция вернула false - это не картинка. 0

@Custos Software Engineer 289 / 252 / 53 Регистрация: 23.09.2014 Сообщений: 859
	18.09.2016, 20:03	7
	Сообщение от Jewbacabra Проверять размер функцией getimagesize, если функция вернула false - это не картинка. Лучше exif_imagetype 2

@nobodyvlv 18 / 17 / 2 Регистрация: 11.01.2013 Сообщений: 109
	19.09.2016, 11:54	10
	Использовать проверку вхождения ключевого слова расширение файла - плохая практика. Как написано выше - проверять MIME type файла 0

@JimUSA Web Programmer 325 / 286 / 121 Регистрация: 28.09.2011 Сообщений: 1,570
	19.09.2016, 14:05	11
	nobodyvlv, и что же плохого? 0

@nobodyvlv 18 / 17 / 2 Регистрация: 11.01.2013 Сообщений: 109
	19.09.2016, 18:54	12
	Сообщение от JimUSA nobodyvlv, и что же плохого? Залить вредоносный скрипт под "проверяемым" расширением не составит труда. Речь идет о безопасности ресурса, а быть может и всего сервера хостинга где крутится первый. 0

@~~miketomlin~~ Заблокирован
	19.09.2016, 19:11	13
	nobodyvlv, вы не совсем правы. Сам MIME-тип часто определяется по расширению, так что это вас не спасет. Добавлено через 1 минуту Сообщение от nobodyvlv Залить вредоносный скрипт под "проверяемым" расширением не составит труда. Залить не составит, но это хотя бы воспрепятствует его выполнению. 1

@nobodyvlv 18 / 17 / 2 Регистрация: 11.01.2013 Сообщений: 109
	19.09.2016, 23:10	14
	Сообщение от miketomlin nobodyvlv, вы не совсем правы. Сам MIME-тип часто определяется по расширению, так что это вас не спасет. Сменить вручную расширение, залить какой-то шелл и выполнить - вот цена проверки по расширению. Конкретно тот класс finfo_file() судя по документации читает байт массив заголовка файла и по нему определяет тип содержимого, а не по расширению. Это не раз разжовывалось и на форумах, и на хабре, и на stackoverflow - я просто не буду повторяться и пересказывать уже сказанные вещи. Да, может и не выполниться, но это при условии выставленных прав. Вот выше человек тоже замечательную функцию предложил exif_imagetype() для заливаемых изображений. Можно поступать иначе, если взять в рассчет "магические числа" https://en.wikipedia.org/wiki/... gic_number. Прочесть первые несколько байт и проверить по таблице нужные форматы https://en.wikipedia.org/wiki/... signatures. Но как по мне это садомазо, но имеет место жить и оно)) 0

@nobodyvlv 18 / 17 / 2 Регистрация: 11.01.2013 Сообщений: 109
	20.09.2016, 12:04	17
	Сообщение от miketomlin Выполнить не получится при вменяемых настройках. А я о чем написал?? Сообщение от nobodyvlv Да, может и не выполниться, но это при условии выставленных прав. Спасибо, что поддержали мои слова) Сообщение от Зверушь Не проверяйте по расширению. По этому поводу я и спорю, что это не лучшая практика. 0

@mozg-bolit 4 / 4 / 5 Регистрация: 20.09.2014 Сообщений: 307
	25.09.2016, 20:55 [ТС]	18
	Пожалуйста можете скинуть пример с функцией exif_imagetype() ?? 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	25.09.2016, 21:07	19
	Сообщение от mozg-bolit пример с функцией exif_imagetype() http://php.net/manual/ru/funct... e-examples 1