$ext = array("jpg", "jpeg", "bmp", "png");
$img_type = isset($_FILES['img']['type']) ? str_replace("image/x-", "", $_FILES['img']['type']) : null;
if(!in_array($img_type, $ext))
    $error[] = "Разрешено загружать картинки в формате JPG, JPEG, BMP, PNG<br />";

Нет! Функция ниже намного более безопасный и надежный метод проверки типа загружаемого файла.

function getExtension($filename) {
	$pathInfoParts = pathinfo($filename);
	$extension = mb_strtolower(trim($pathInfoParts['extension']), 'UTF-8');
	$basename = mb_strtolower(trim($pathInfoParts['basename']), 'UTF-8');
	
	//Защита от загрузки .htaccess и подобных
	if ($basename != ".$extension" && mb_strlen($extension, 'UTF-8')) {
		return $extension;
	} else {
		return 'txt';
	}

}

Предложите, пожалуйста, более надежный вариант, чем функция, которую я написал. Я с удовольствием буду использовать Ваш вариант, если он действительно превосходит по надежности мой.

Ваша фнукция не делает ничего, кроме как возвращает расширение.
А функция Васи - только проверяет майм тип.
И то и ругое - недостаточно.
Если бы я писал - то я бы сначала проверил расширение, потом майм тип, а потом и гетимейджсайз до кучи. И только в случае успеха всех 3х - тру. Нету примера под рукой.

Вы наверное не обратили внимание, что функция называется getExtension

Можете описать ситуацию, в которой проверка расширения и getimagesize() профукают атаку, а проверка mime type их подстрахует?

Нет, но это не делает майм тип бесполезным. Все три проверки нужны для того - что бы удостоверится, что нам дейтвительно обычный пользователь сует обычную картинку, а не какую-нить фигню - даже если не специально.

Если Вы это написали серьезно, то объсяните, пожалуйста, почему "ситуация про блондинок" обойдет getimagesize(), но запорется на mime type ?

Она запорится на обоих проверках.

Ну вот! А проверять и mime type, и getimagesize() - это тоже самое, что писать такой код, как ниже, за исключением того, что mime type еще и элементарно подделать:

if(!empty($var) && $var != '') {
...
}

if(!empty($var) && $var != '') {
...
}

Не совсем.

Из-за того, что Вы не приводите ни аргументов, ни кода, наша с Вами беседа практически бесполезна для человека, который зайдет в эту тему за информацией

я вообще вредный.

не совсем.

Блин, очень хочу Вам ответить что-то такое, что бы все кто читают эту тему поняли какой я крутой перец. Я, если придумаю какой-то классный ответ, который по моему мнению, Вам попустит, чуть позже сюда напишу.

Вот отрывок статьи про методы взлома http://www.captcha.ru/articles/antihack/

Также встречается идея пытаться читать файл изображения функциями getimagesize или imаgecreatefromjpeg. Однако тип файла здесь определяется на основе содержания, так что правильное JPEG-изображение, сохраненное с расширением .php, будет определено как image/jpeg. А называться будет xxxxx.php. Веб-сервер же, принимающий решение об обработчике (handler) для того или иного файла, смотрит именно на расширение. Злоумышленник берет корректную картинку, приписывает к ней в конец (или в EXIF-данные) php-скрипт, и сервер его исполняет, мы взломаны.

Таким образом, контролировать для обеспечения безопасности следует именно расширение файла, а проверки через определение mime-type и через попытку открыть файл функцией getimagesize имеют смысл только для контроля того, что вместо картинки не будет загружен мусор, безвредный, но картинкой не являющийся.

Вы просто уперлись как баран, и смотрите только с одной точки зрения.
Помимо обеспечения безопасности еще нужно еще давать фидбек пользователю.
И сделав все три проверки(майм, расширение, попытка работы с картинкой), и определив ошибки на каждом этапе - можно сказать пользователю что конкретно у него не так.
Как и решить, например, что если просто неверное расширение - то промолчать и все-равно использовать файл. Как правило, в серъёзной логике нужны все эти 3 момента.

Да, кстати. Про пхп код в картинке. Вы попробуйте. Возьмите картинку, допишите к ней код, и попробуйте запустить, перед тем как такую <вырезано цензурой - Invis1ble> постить. Это полный бред. Допускаю, что это было акутально лет 5 назад, но не сейчас.

Собственно тут и написано, почему в том числе надо делать все 3 проверки.

А Вы конечно же не упертый как баран

Вы либо идиот и не понимаете, что $_FILES['filename']['type'] - это бесполезная фигня в данном случае, либо просто от нечего делать забавляетесь.

Ага, в серьезной

К сожалению не пробовал, но в целом статья очень даже адекватная и я сильно сомневаюсь, что автор описал этот момент из-за своего низкого профессионализма.

Интересный момент

Специально попробовал его осуществить, ничего не получилось. Интерпретатор засыпал ошибками, а echo так и не вывел.

Warning: Unexpected character in input: ' in W:\home\site.ru\www\test\opera.php on line 322

Parse error: syntax error, unexpected T_STRING in W:\home\site.ru\www\test\opera.php on line 322

Спасибо, что попробовали.
Понимаете, когда приходитcя, делать форму обратной связи на вменяемом сайте за вменяемый бюджет, где взлом может сильно навонять, то оставлять подобные моменты без внимания, надеясь на форумных гуру типа vital, просто глупо.

Представьте себе, есть еще масса других способов проверить майм. Я про этот - вообще не думал. Ни разу и не пользовался..

.
А я пробовал. И да, это было рабочим видимо.. Cтрого говоря, у меня получилось выполнить пхп код из картинки, но достаточно геморно. Что забавно, echo там, почему-то, не работает.

а какой формат картинки пробовал?

И почему мне эта фраза напоминает попытку померятся сантиметрами?
Поверьте, я куда более круыте проекты делаю, чем "сайты_с_формами_обратной_связи".

Попытка померяться сантиметрами - это практически все Ваши посты, начиная с фразы: обе функции шлак., просто в разных проявлениях.

Я рад за Вас
Форма обратной связи с возможностью прикрепить файлы - частный случай, где применяется описанная в этой теме информация.

---

Спустя 15 минут, 4 секунды Гость Дмитрий написал(а):

---

Кстати, если есть желание "конструктивно обосрать" мой код, то здесь лежит тема, где я прошу указать на замеченный в моем "скрипте авторизации" дыры.