0
Je suis en train de créer un uploader d'image PHP en utilisant Zend Framework qui téléchargera des images dans un répertoire public pour que les gens puissent y accéder librement.Comment créer un uploader d'image php sécurisé?
Je jusqu'à présent mis en œuvre ces mesures pour la sécurité: - validation de la taille du fichier - validation Extension - MimeType validation - Une fois le fichier de validation réussie est renommé avec une extension d'image dans un dossier public, à savoir/images/uploads/...
Est-ce assez de sécurité? Vous ne pouvez pas l'exécuter à travers un script antivirus pouvez-vous (est-ce nécessaire)?
C'est la mauvaise solution IMO. Il est possible de créer une image GIF parfaitement valide qui est aussi un script PHP parfaitement valide. Vous devez jeter les fichiers image non valides uniquement parce qu'ils ne sont pas valides, mais pour des raisons de sécurité, vous devez vous fier aux configurations de serveur appropriées. Ne laissez pas le serveur exécuter des fichiers dans le répertoire public. En outre, appliquer des extensions de fichiers appropriées pour les images téléchargées (ne pas autoriser les images appelées 'image.gif.php') et s'assurer que seuls les fichiers' .php' sont traités par PHP (la plupart des serveurs sont déjà correctement configurés pour cela). –
Pour plus d'informations sur l'exploit ci-dessus, voir ce lien: http://www.phpclasses.org/blog/post/67-PHP-security-exploit-with-GIF-images.html –
Merci pour l'info, je n'était pas au courant de cet exploit. – Maerlyn