phpbar.de logo

Mailinglisten-Archive

[php] upload.php ok im IE, NN und Opera funzen nicht!!

[php] upload.php ok im IE, NN und Opera funzen nicht!!

Oliver Kurlvink php_(at)_phpcenter.de
15 Apr 2002 09:16:11 +0300


> Ich verweise noch einmal aufdringlich auf is_upload_file() und nicht die
> unart auf 'none' zuueberpruefen. Die PHP-Goetter haben halt schlechte und
> gute Tage... welche da so ueberwiegen soll hier nicht das Thema sein :)

none braucht man eh nur für netscape. für den rest reicht es zu
überprüfen ob post_files gesetzt ist... ich hab natürlich auch erst mit
is_upload_file gearbeitet, dummerweise hatte das bei mir nie korrekt
funktioniert. aber ich werde das nach den letzten diversen updates noch
einmal überprüfen.

> Mir ist klar das es so ca. 31337 verschiedene Bild Formate gibt. Die Anzahl
> derer die ein handelueblicher Browser so Anzeigen kann duerfte diese Zahl
> aber gehoerig Reduzieren. Da es sich hier dann um die ueblichen
> Verdaechtigungen handeln wird sollte getimagesize() angewand auf die
> temporaere Datei genuegen um sie dann zukopieren/behandeln.

bei mir können die user alles uppen was ihnen einfällt. mit imagemagick
wird überprüft ob es sich um eine lesbare datei handelt, dann wird mit
imagemagick überprüft ob es eine browserkompatible datei ist. ist dies
nicht der fall wird gewandelt. danach wird skaliert. dann kopiert. so
erzeuge ich icons, thumbnails und "normal" große grafiken aus quasi
jedem beliebigen format.

> Knackpunkt ist aber ob sich solche Tools oder auch ImageMagick ueberlisten
> lassen wenn eine Datei bild.php ankommt die aussehen kann
>
> ---
> GIF87a~_i
> <?php
> // boeser code hier wie echo ´rm -rf  *´;
> ?>
> ----
>
> Wer die Datei evtl. Resized koennte merken das was nicht stimmt. Wie aber
> sich ein JPEG verhaelt das in den APC Bloecken Zusatzdaten aufnehmen kann
> die auch ein Resizen ueber leben wuerden moechte ich jetzt garnicht
> ausprobieren.
> Da Bilder aber meisten in einem oeffentlich zugaenglichem Bereich des
htdocs
> liegen waere es unschoen wenn andere dort solcher Art Trojaner hinterlegen
> koennten.

das wäre aber auch nur dann ein trojaner, wenn der webserber den dort
gespeicherten ode ausführt. grafiken werden aber nur an den browser
geschickt. selbst wenn er die grafik nicht mehr erkennen würde würde er
es in erster linie ungeparst als text rausschicken. würde sowas
tatsächlich funktionieren wären ja auch etliche andere foramte
betroffen, in denen solch ein code im fließtext auftaucht, denk mal an
pdf-download usw.


php::bar PHP Wiki   -   Listenarchive