[Erledigt] Sicher Bilder hochladen? - Seite 4

David · 28.11.2008, 18:20

Zitat:

Zitat von Manko10

Das Bild muss noch nichteinmal valide sein, es muss nur ein GIF-Header enthalten sein.

Ja, eben. Und ein anderes Programm, dass aufgrund von Mustern eine Aktion wählt, prüft das ebenso ab. Dein Browser macht das ständig. Zumindest wird es auch betrachtet. <img src="xyz" /> zum Beispiel. Dateiendung egal, Typ auch nicht angegeben, aber Dein Browser entscheidet, ob es ein GIF,JPEG,PNG, ein sonstiges Bildformat oder Müll ist. Gerade nochmal im FF3 getestet mit

PHP-Code:

  header('Content-type: image/jpeg');
readfile('apache_pb.png');

Das Bild ist wirklich ein png und Firefox zeigt es trotz falschem Content-type an. Das ist hier nicht sonderlich wild, weil ein Bildformat durch ein anderes vertauscht wurde und Firefox sich weigert eine Aktion, die nicht zu <img> passt, auszuführen. Aber der Punkt ist: Mustererkennung passiert in "der echten Welt" und Aktionen werden danach ausgewählt.
Und andersherum: wenn da GIF89a am Anfang steht, führt Windows den darauffolgenden EXE Code nicht aus.

David · 28.11.2008, 18:31

Zitat:

Zitat von tomtaz

Nein natürlich nicht. Der Headercheck beruht einerseits auf die von Apache gesetzten, als auch die von getimage size. Ist das nicht der selbe -> die.

Apache setzt den header? Welchen denn (bitte mit Quelle, ich bin ein ungläubiger Thomas

)

Zitat:

Zitat von tomtaz

Und bilder werden generell mit <img src="xxx.gif" alt="Test" /> eingebunden und nicht via include...

Also jagst Du die Daten doch nicht durch den PHP Interpreter .?.

tomtaz · 28.11.2008, 18:40

Zitat:

Zitat von David

Also jagst Du die Daten doch nicht durch den PHP Interpreter .?.

Nein oder stand das im meinen vorherigen Post?

David · 28.11.2008, 18:45

Oh stimmt, stand da tatsächlich nicht.

Zitat:

Zitat von tomtaz

kommt nichts, da, so wie ich annehme, die Datei nicht durch den PHP Parser gejagt wird.

Vielleicht sollte ich einen Gang runter schalten und gründlicher lesen... sorry.

28.11.2008, 19:20

Kann man ein Bild nicht per php auslesen und nach bestimmten Mustern suchen? Wie z.B.: <?, >, php, script, alert, a, href, center, br und viel mehr. Dadurch könnte man ja zumind. sicher stellen, dass das Bild kein anderen Codemüll inhaltet(php,html und javascript) und dann kann man es ja ggf. löschen.

Sowas sollte doch möglich sein? Nur mit welcher PHP-Funktion ist sowas realisierbar?

Manko10 · 28.11.2008, 19:34

Das müsstest du schon selbst implementieren.

phpdummi · 28.11.2008, 19:54

... Wobei das durchsuchen von Strings immer Fehleranfällig ist. Was alles schief gehen kann fragst du am besten Stefan Esser von SektionEins.
Aber bitte privat, zu Vorträgen würde ich nicht einmal freiwillig gehen. Aber pssst!

28.11.2008, 21:01

Und mit welcher PHP-Funktion, kann man jetzt ein Bild mit PHP auf die oben genannten Muster untersuchen?

nikosch · 29.11.2008, 17:42

Wer sagt Dir denn, dass <? nicht mal zufällig regulärer Bestandteil der Datenmnge ist?

robo47 · 29.11.2008, 17:59

Zitat:

Zitat von nikosch

Wer sagt Dir denn, dass <? nicht mal zufällig regulärer Bestandteil der Datenmnge ist?

z.b. bei XML kommt sowas ja schon schnell mal vor

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bilder ohne DB sicher speichern	Diet	PHP Tipps 2005	6	25.03.2009 00:07
Bilder hochladen und speicher	Zabimaru	PHP Tipps 2008	7	09.04.2008 17:58
Bilder Ordner hochladen?	CHRIS	PHP Tipps 2005-2	3	30.12.2005 17:20
Bilder löschen		PHP Tipps 2005-2	4	24.10.2005 11:37
Bilder hochladen		PHP Tipps 2005-2	11	07.10.2005 12:29
Bilder aus einem unterverzeichis anzeigen.Hilfe		PHP Tipps 2005-2	3	12.09.2005 15:36
Mehrere Bilder Hochladen und bearbeiten		PHP Tipps 2005-2	7	23.07.2005 13:48
Bilder hochladen und Namen in DB speichern		PHP Tipps 2005-2	3	21.06.2005 16:11
Bilder in Tabellen	nixdorf	HTML, Usability und Barrierefreiheit	36	09.05.2005 21:15
Bilder hochladen über Formular		PHP Tipps 2005	3	11.04.2005 13:46
[Erledigt] mehrere Bilder auf einmal hochladen		PHP Tipps 2005	3	31.03.2005 11:36
Bilder hochladen		PHP Tipps 2005	1	14.02.2005 16:16
Suche Bilder hochladen Script	ypsie	Beitragsarchiv	5	21.01.2005 17:01
Bilder upload (Massen)		PHP Tipps 2005	11	06.01.2005 14:14
Bilder hochladen mit/ohne Datenbank	'progman'	PHP Tipps 2004	9	19.10.2004 21:03


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.11.2008, 19:20
fliptow Gast Beiträge: n/a	Kann man ein Bild nicht per php auslesen und nach bestimmten Mustern suchen? Wie z.B.: <?, >, php, script, alert, a, href, center, br und viel mehr. Dadurch könnte man ja zumind. sicher stellen, dass das Bild kein anderen Codemüll inhaltet(php,html und javascript) und dann kann man es ja ggf. löschen. Sowas sollte doch möglich sein? Nur mit welcher PHP-Funktion ist sowas realisierbar?

28.11.2008, 19:34
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Das müsstest du schon selbst implementieren. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

28.11.2008, 19:54
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	... Wobei das durchsuchen von Strings immer Fehleranfällig ist. Was alles schief gehen kann fragst du am besten Stefan Esser von SektionEins. Aber bitte privat, zu Vorträgen würde ich nicht einmal freiwillig gehen. Aber pssst! __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

28.11.2008, 21:01
fliptow Gast Beiträge: n/a	Und mit welcher PHP-Funktion, kann man jetzt ein Bild mit PHP auf die oben genannten Muster untersuchen?

29.11.2008, 17:42
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Wer sagt Dir denn, dass <? nicht mal zufällig regulärer Bestandteil der Datenmnge ist? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --