[SOLUCIONADO] seguridad para imagenes php

alex_dh · #1 (**permalink**) 01/04/2013, 00:52

hola gente, estoy armando un uploader de imagenes (no un hosting, sino para un proyecto) y estoy dando mis primeros pasos en seguridad en este area (imagenes y manejo de archivos php)

por el momento tengo hecho algo asi, que segun he leido es seguro (pero no del todo)

Código PHP:

      $tamano = $_FILES['img-cuenta']['size']; 
    $tipo = $_FILES['img-cuenta']['type']; 
    $nombre = $_FILES['img-cuenta']['name']; 
    $tmp = $_FILES['img-cuenta']['tmp_name']; 
     
    $imagesize = getimagesize($tmp); 
     
    $formatosbuenos = array('jpg', 'png', 'jpeg'); 
     
    if(empty($tamano) || empty($tipo) || empty($nombre) || empty($tmp)) { 
        require('include/header.php'); 
 
        require('include/ini.cuerpo.php'); 
 
        echo '<p style="font-size: 20px; text-align: center;">Selecciona una imagen para subir</p>'; 
 
        require('include/pie.php'); 
    } elseif($imagesize['mime'] == 'image/png' || $imagesize['mime'] == 'image/jpg' || $imagesize['mime'] == 'image/jpeg' || in_array(end(explode('.', $nombre)), $formatosbuenos)) { 
        echo $nombre; 
    } else { 
        require('include/header.php'); 
 
        require('include/ini.cuerpo.php'); 
 
        echo '<p style="font-size: 20px; text-align: center;">Solo se permiten imagenes PNG, JPG y JPEG.</p>'; 
 
        require('include/pie.php'); 
    }

me gustaria que me den su opinion sobre esto y comenten que le agregarian y que le quitarian...

gracias y espero no estorbar

Triby · #2 (**permalink**) 01/04/2013, 02:23

Tu script es seguro, porque estás verificando que sólo se suban imágenes sin confiar en el 'type' enviado por el navegador.

Sólo te faltarían algunos detalles:

1- Revisar $_FILES['img-cuenta']['error'] antes de cualquier otra cosa. Si es 4, el usuario no seleccionó un archivo; si es cero, el archivo subió correctamente; si es otro valor, hubo error al subir/guardar el archivo.

2- Verificar que la extensión y el tipo mime correspondan. De hecho, esto no agrega seguridad, pero es conveniente.

3- No muestras si mueves/copias el archivo a su carpeta final, en todo caso, asegúrate de que se guardó correctamente con file_exists('ruta/y/nombre_de_archivo')

alex_dh · #3 (**permalink**) 01/04/2013, 11:24

Cita:

Iniciado por Triby

Tu script es seguro, porque estás verificando que sólo se suban imágenes sin confiar en el 'type' enviado por el navegador.

Sólo te faltarían algunos detalles:

1- Revisar $_FILES['img-cuenta']['error'] antes de cualquier otra cosa. Si es 4, el usuario no seleccionó un archivo; si es cero, el archivo subió correctamente; si es otro valor, hubo error al subir/guardar el archivo.

2- Verificar que la extensión y el tipo mime correspondan. De hecho, esto no agrega seguridad, pero es conveniente.

3- No muestras si mueves/copias el archivo a su carpeta final, en todo caso, asegúrate de que se guardó correctamente con file_exists('ruta/y/nombre_de_archivo')

estoy viendo lo de los errores...

lo del mime podria hacer algo como

Código PHP:

  $imagesize['mime'] == $_FILES['img-cuenta']['type']

eso estaria bien?

Triby · #4 (**permalink**) 01/04/2013, 14:32

Noooo.... no confíes en el type que viene con $_FILES, ese es proporcionado por el navegador y, por tanto, poco confiable.

Si el tipo mime que obtienes con getimagesize() es image/jpg, entonces el nombre del archivo debe tener extensión .jpg

alex_dh · #5 (**permalink**) 01/04/2013, 14:41

Cita:

Iniciado por Triby

Noooo.... no confíes en el type que viene con $_FILES, ese es proporcionado por el navegador y, por tanto, poco confiable.

Si el tipo mime que obtienes con getimagesize() es image/jpg, entonces el nombre del archivo debe tener extensión .jpg

no se como tomar la extension del archivo

me ayudas?

Triby · #6 (**permalink**) 01/04/2013, 15:37

Lee esto: http://www.forosdelweb.com/f18/aport...8/#post4265376

alex_dh · #7 (**permalink**) 01/04/2013, 22:56

Cita:

Iniciado por Triby

Lee esto: http://www.forosdelweb.com/f18/aport...8/#post4265376

ahi lei lo de las imagenes, y hice una comprobacion tambien con el getimagesize()

me quedó algo asi:

Código PHP:

  if($imagesize['mime'] == 'image/png' || $imagesize['mime'] == 'image/jpg' || $imagesize['mime'] == 'image/jpeg' && in_array(end(explode('.', $nombre)), $formatosbuenos) && filesize($tmp) < '1000000' && $error == '0' && $imagesize !== false) { 
            if (is_uploaded_file($_FILES['img-cuenta']['tmp_name'])) { 
                 copy($tmp, $directorio); 
                 $sql_cambiaimagen = mysql_query("UPDATE sis_usuario SET imgperfil='$nuevaurl' WHERE iduser='$id_user'"); 
                 header('location:cuenta.php?nu=1'); 
            } else { 
                header('location:cuenta.php?eu=1'); 
            }

estará bien ahi?

Triby · #8 (**permalink**) 02/04/2013, 12:33

Lo veo bien, sólo recuerda que algunas cámaras/software generan los archivos con extensiones en mayúsculas, por eso es recomendable usar strtolower para obtener y comparar la extensión.

alex_dh · #9 (**permalink**) 02/04/2013, 13:31

Cita:

Iniciado por Triby

Lo veo bien, sólo recuerda que algunas cámaras/software generan los archivos con extensiones en mayúsculas, por eso es recomendable usar strtolower para obtener y comparar la extensión.

claro, estaba pensando en eso, muchas gracias por todo