validar contenido del fichero de la imagen al subirla

flashtrix · #1 (**permalink**) 21/05/2015, 23:14

hola nuevamente

tengo este script que baje de una web el cual es un formulario para subir imágenes al servidor con el famoso botón examinar

Código HTML:

Ver original<form action="upload.php" method="post" enctype="multipart/form-data">
  <input name="archivo" type="file" size="35" />
  <input name="enviar" type="submit" value="Upload File" />
  <input name="action" type="hidden" value="upload" />    
</form>

y este es el Script PHP que hace el resto..

Código PHP:

  $status = ""; 
if ($_POST["action"] == "upload") { 
    // obtenemos los datos del archivo 
    $tamano = $_FILES["archivo"]['size']; 
    $tipo = $_FILES["archivo"]['type']; 
    $archivo = $_FILES["archivo"]['name']; 
    $prefijo = substr(md5(uniqid(rand())),0,6); 
    
    if ($archivo != "" || $tipo == "image/gif" || $tipo == "image/jpeg" || $tipo == "image/jpg") { 
        // guardamos el archivo a la carpeta files 
        $destino =  "files/".$prefijo."_".$archivo; 
        if (copy($_FILES['archivo']['tmp_name'],$destino)) { 
            $status = "Archivo subido: <b>".$archivo."</b>"; 
        } else { 
            $status = "Error al subir el archivo"; 
        } 
    } else { 
        $status = "Error al subir archivo"; 
    } 
}

pero existe un problema y es que existen personas inescrupulosas que crean archivos php o shell con extensiones de imagen (archivos con extensión de imagen que son archivos con códigos maliciosos ocultos) para burlar dicho script el cual es muy vulnerable...

como hago para evitar que puedan subir este tipo de archivos escondidos en imágenes...

Estuve leyendo y es algo como validar en contenido del fichero de la imagen
utilizando las funciones de PHP getimagesize() y Content-type()

Pero no doy como agregarle dichas funciones al código

espero me puedan ayudar

graciass

Perr0 · #2 (**permalink**) 22/05/2015, 08:11

aquí hay un apartado del getimagesize()

http://www.bitrepository.com/how-to-...ge-upload.html

saludos

jolijun · #3 (**permalink**) 22/05/2015, 08:45

Si te preocupa la seguridad, lo principal son los permisos, dale permisos 644 que solo permiten leer el archivo.

Código PHP:

Ver original$destino =  "files/".$prefijo."_".$archivo; 
 chmod($destino, 644);

lauser · #4 (**permalink**) 23/05/2015, 02:23

Cita:

Iniciado por jolijun

Si te preocupa la seguridad, lo principal son los permisos, dale permisos 644 que solo permiten leer el archivo.

Código PHP:

Ver original$destino =  "files/".$prefijo."_".$archivo; 
 chmod($destino, 644);

Que tienen que ver los permisos, con validar que la extensión corresponda a el archivo?

flashtrix · #5 (**permalink**) 25/05/2015, 23:24

hola si es que notaba q subian la informacion acompañada de un archivo con extencion jpg la cual no abria como imagen a pesar q tenia el icono caracteristico de las imagenes jpg y la extensión jpg pero que al abrirlas con un block de notas tenian codigo php listo para hackear o hacer modificaciones al servidor donde alojaba los archivos,.. como hago para terminar el codigo y darle esa seguridad q mal intensionados hagan mal subiendo ese tipo de archivos y aplicarlo a mi ejemplo el que puse arriba gracias

flashtrix · #6 (**permalink**) 25/05/2015, 23:30

hola si es que notaba q subian la informacion acompañada de un archivo con extencion jpg (pues el formulario a pesar q valida que sean archivos jpg sigue siendo vulnerable pues montan esos archivos con fubciones ocultas con eextensión jpg) dicho archivo no abria como imagen a pesar q tenia el icono caracteristico de las imagenes jpg y la extensión jpg pero que al abrirlas con un block de notas tenian codigo php listo para hackear o hacer modificaciones al servidor donde alojaba los archivos,.. como hago para terminar el codigo y darle esa seguridad q mal intensionados hagan mal subiendo ese tipo de archivos y aplicarlo a mi ejemplo el que puse arriba gracias

Alexis88 · #7 (**permalink**) 26/05/2015, 02:09

Necesitas obtener el mime type del archivo, para lo cual puedes hacer uso de las funciones de FileInfo. También puedes usar la función getimagesize.

Saludos

flashtrix · #8 (**permalink**) 26/05/2015, 15:06

como lo logro

Alexis88 · #9 (**permalink**) 26/05/2015, 16:19

Esas palabras resaltadas en anaranjado que puedes ver en mi anterior respuesta, son enlaces. Ingresa a ellos y lee. Encontrarás la explicación de su uso y ejemplos. No olvides buscar más por tu cuenta.

Saludos