Subir imagen de manera seguro con php

Masterphp · #1 (**permalink**) 28/08/2011, 01:01

Hola amigos,
tengo un problema al subir mi imagen con php encontre este aporte subir imagen con php, lo que sucede hace pasar la repeticion por el POST con live_http_headers de firefox esto usan mayormente para hackers de web sites si subo archivo.jpg cambiado de archivo.php lo asepta normal lo que estoy buscando es un codigo php que revise si el archivo .jpg o gif sea el verdadero formato y si no lo es simplente que rechase, solo quiero un code que revise el verdadero formato de archivo el resto yo me encargo de programar.

estube letendo por ahi librerias GD aver si me echan la mano
tengo este codigo pero no sirve para una web seguro.

Código PHP:

Ver original<? 
if($_POST){
// Creamos la cadena aletoria
$str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
$cad = "";
for($i=0;$i<12;$i++) {
$cad .= substr($str,rand(0,62),1);
}
// Fin de la creacion de la cadena aletoria
$tamano = $_FILES [ 'file' ][ 'size' ]; // Leemos el tamaño del fichero
$tamaño_max="50000000000"; // Tamaño maximo permitido
if( $tamano < $tamaño_max){ // Comprovamos el tamaño 
$destino = 'uploaded' ; // Carpeta donde se guardata
$sep=explode('image/',$_FILES["file"]["type"]); // Separamos image/
$tipo=$sep[1]; // Optenemos el tipo de imagen que es
if($tipo == "gif" || $tipo == "pjpeg" || $tipo == "bmp"){ // Si el tipo de imagen a subir es el mismo de los permitidos, segimos. Puedes agregar mas tipos de imagen
move_uploaded_file ( $_FILES [ 'file' ][ 'tmp_name' ], $destino . '/' .$cad.'.'.$tipo);  // Subimos el archivo
include('post.html'); // Incluimos la plantilla
}
else echo "el tipo de archivo no es de los permitidos";// Si no es el tipo permitido lo desimos
}
else echo "El archivo supera el peso permitido.";// Si supera el tamaño de permitido lo desimos
}
?>

Smolky · #2 (**permalink**) 28/08/2011, 06:38

Hola. Hecha un vistazo a esta función:
http://www.php.net/manual/en/function.finfo-file.php

En el ejemplo 1 se ve como obtiene el mime type de una lista de ficheros. A partir de ahí, podrás decidir si descartar el fichero o no.

Masterphp · #3 (**permalink**) 28/08/2011, 08:06

he probado esta función de igual forma es traspasado el fichero cambiado de extencion de php a jpg
alguna otro idea de revisar el verdadero formato...

Gracias por responderme

Smolky · #4 (**permalink**) 28/08/2011, 11:57

Hola. En la documentación de la función dice:

Cita:

The functions in this module try to guess the content type and encoding of a file by looking for certain magic byte sequences at specific positions within the file. While this is not a bullet proof approach the heuristics used do a very good job.

Lo que entiendo es que mira en determinados bytes del contenido del fichero para determina su tipo y no en la extensión.

Entiendo que lo haces es coger un fichero .PHP, cambiarle la extensión a .JPG y subirlo al servidor. ¿Verdad? Y después, al ejecutar esa función, el content-mime-type que te devuelve es el de " image/jpeg"?

Masterphp · #5 (**permalink**) 29/08/2011, 21:20

no, antes de subir que revise y no permita subir este tipo de archivo cambiado de php a jpg, al servidor se envia justamente en ese momento de enviar a carpeta de imagenes con cabeceras headers cambiando la extencion, y lo que busco es justamente evitar que envie este tipo de archivos

Smolky · #6 (**permalink**) 30/08/2011, 01:42

¿Antes de subir? Si te entiendo bien habría que hacerlo entonces con un lenguaje que se ejecute en el lado del cliente y no en el lado del servidor porque PHP no podría operar con el fichero hasta que este no se encuentre en el servidor.