Собственно так и непонял, как загрузить безопасно изображение на сервер. С текстом всё понятно - mysqli_real_escape_string, потом - htmlspecialchars.
_____________
Принимаю заказы, писать в ЛС
Полная Версия: Безопасная загрузка изображений на сервер.
Формат проверяй, chmod установи.
_____________
минус, конечно, иногда полезен, но плюс мне нравиться больше :)
Женский журнал - Жена сказала раскрутить сайт любой ценой (Sorry)
_____________
минус, конечно, иногда полезен, но плюс мне нравиться больше :)
Женский журнал - Жена сказала раскрутить сайт любой ценой (Sorry)
уф.... какой mysql_real_escape_string() 
можно проверять тип, расширение и всё остальное, но на мой взгляд - это считать файл и нарисовать его заного.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
можно проверять тип, расширение и всё остальное, но на мой взгляд - это считать файл и нарисовать его заного.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
killer8080 , дочитал вторую часть... Ужаснулся:
| Цитата |
| Теперь загруженные файлы нельзя непосредственно выполнить (потому что они сохранены за пределами корня). Они не могут использоваться в include-уязвимостях, потому что у нападавшего нет возможности узнать имя загруженного файла в файловой системе на сервере. |
И называется статья Безопасная загрузка из-я... Имхо, когда мы не знаем имени к изображению, как мы её увидим в браузере?
Данный вопрос подымается тут с завидной частотой 
Поищи на форуме, уже разжованно.
http://phpforum.su/index.php?showtopic=80013#entry2761382
_____________
[продано копирайтерам]
Поищи на форуме, уже разжованно.
http://phpforum.su/index.php?showtopic=80013#entry2761382
_____________
[продано копирайтерам]
| Цитата (asstral @ 3.04.2015 - 13:36) |
| Имхо, когда мы не знаем имени к изображению, как мы её увидим в браузере? |
"вы" - это кто? нападающие? или ты через слово читаешь?
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Обязательный ресайз изображения! Не так давно мне 3 суток пыталиcь загрузить jpg c exif/shell.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Здесь расположена полная версия этой страницы.