[B! php][image] ockeghemのブックマーク

ockeghem id:ockeghem

phpとimageに関するockeghemのブックマーク (2)

PHPで$_FILES['userfile']['type']が信用できない問題について - $_FILES['userfile'... - Yahoo!知恵袋
PHPで$_FILES['userfile']['type']が信用できない問題について $_FILES['userfile']['type']は信用できませんという記述がPHPのマニュアルにはあります。 URL：http://www.php.net/manual/ja/features.file-upload.php そこで何か対策はないかと思い調べてみるとこういう素晴らしいページに出会いました。タイトル：『ファイルの先頭8バイトだけで画像のフォーマットを調べる』 URL：http://labs.gmo.jp/blog/ku/2007/05/8.html そこには以下の正規表現で各フォーマットのヘッダを調べると良いとありました。 if ( preg_match( '/^\x89PNG\x0d\x0a\x1a\x0a/', $image_stream) ) { $type = "png"
ockeghem 2011/07/20
『以下の正規表現で各フォーマットのヘッダを調べると良いとありました』<それgetimagesizeでできるよ。詳しくは#wasbook P279

php

image
リンク
[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。攻撃の概要画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。この脆弱性は、アップロード可能なフ
ockeghem 2007/07/17
言いたいことはコメント欄に書きました

image

php

security

セキュリティ

脆弱性

teracc
リンク
1