Seguridad al cargar imagenes?

murderer · #1 (**permalink**) 21/10/2009, 12:28

Holas,

Cómo se puede hacer para filtrar cualquier troyano, que se pueda meter en un formulario de envio de imágenes ¿Un sistema para detectar extensiones alcanza? y si es asi, ¿Cómo se hace uno?

Desde ya muchas gracias!

luckystrikede11 · #2 (**permalink**) 21/10/2009, 12:36

Utiliza la clase upload.class.php.. creo que te pude servir

http://www.verot.net/php_class_upload.htm

murderer · #3 (**permalink**) 21/10/2009, 12:46

Cita:

Iniciado por luckystrikede11

Utiliza la clase upload.class.php.. creo que te pude servir

http://www.verot.net/php_class_upload.htm

Holas,

Es una muy buena opcion la que dices, pero estoy buscando algo más simple, como un script con if.

Saludos!

darkasecas · #4 (**permalink**) 21/10/2009, 13:06

Podrias usar la informacion del mime type del archivo que se guarda en $_FILES

murderer · #5 (**permalink**) 23/10/2009, 10:58

Ahora ya tengo el formulario de la carga de imagenes, pero me falta sólo esto T_T

urgido · #6 (**permalink**) 23/10/2009, 11:04

la mejor función es usar la que te dicne del mime types :D ya que con eso se corroborá en realidad el tipo de archivo.

lee aqui

abimaelrc · #7 (**permalink**) 23/10/2009, 11:17

Te sugiero usar fileinfo es la recomendable

codig0 · #8 (**permalink**) 23/10/2009, 13:04

fileinfo no te da la extensión original del archivo si no recuerdo mal, puedes cambiar a un .php a .jpg y lo subes y te dirá que es jpg, yo te recomiendo mime type, sin lugar a dudas, pero si solo van a ser imágenes te recomiendo que compruebes si tiene ancho y alto, así sabrás si son imágenes o no.

abimaelrc · #9 (**permalink**) 23/10/2009, 13:30

En el ejemplo que da php.net de fileinfo usa mime type http://www.php.net/manual/en/function.finfo-file.php. Ademas usar mime_content_type esta obsoleto y ellos mismo recomiendan usar fileinfo.

murderer · #10 (**permalink**) 23/10/2009, 18:00

Hice esto, y por lo visto funciona bien:

Código PHP:

  <?php 
   // <FOTOS> 
    if ($_SESSION['usuarioregistrado']){ 
      $usuario = $_SESSION['nombreusuarioregistrado']; 
      $imgsubida =  "imgusuarios/$usuario/"; 
      if (is_dir($imgsubida)){ 
       
        $directorio = dir("$imgsubida"); 
     
        while (false !== ($archivo = $directorio->read())){ 
          if ( ($archivo != '.') and ($archivo != '..')){ 
             
            $isimg = pathinfo("$imgsubida/$archivo"); 
            if ($isimg['extension'] == 'png'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            } 
            elseif ($isimg['extension'] == 'jpg'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            } 
            elseif ($isimg['extension'] == 'jpg'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            } 
            elseif ($isimg['extension'] == 'gif'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            } 
            elseif ($isimg['extension'] == 'jpeg'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            } 
            elseif ($isimg['extension'] == 'jpeg'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            } 
            elseif ($isimg['extension'] == 'bmp'){ 
              echo "<p><img src='$imgsubida/$archivo' width='160' height='160'/></p>"; 
            }         
               
        }  
          } 
          $directorio->close(); 
          if (is_dir($imgsubida)){ 
            echo "<img src='$imgsubida' width='120' height='120' />"; 
          } else { 
          echo 'No ha cargado ninguna foto todavia. <a href="subirfoto.php">Subir nueva foto</a>'; 
          } 
        }  
      else { 
      echo 'No ha cargado ninguna foto todavia. <a href="subirfoto.php">Subir nueva foto</a>'; 
      } 
    } else { 
    header("location: registro.php"); 
    } 
    // </FOTOS> 
   ?>

Tiene vulnerabilidades?

Muchas gracias

Saludos!

urgido · #11 (**permalink**) 23/10/2009, 18:02

con eso sacas la extensión del archivo más no de que tipo es realmente, yo puedo renombrar un .AVI en .JPG y subirlo sin problemas.

murderer · #12 (**permalink**) 23/10/2009, 18:10

Cita:

Iniciado por urgido

con eso sacas la extensión del archivo más no de que tipo es realmente, yo puedo renombrar un .AVI en .JPG y subirlo sin problemas.

Tienes razón, no me habia dado cuenta

.

Pero probé con el ejemplo que figura en el sitio de php pero me tira error

Código PHP:

      $filename = "img/group.png"; 
$finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension 
foreach (glob("$filename.png") as $filename) { 
    echo finfo_file($finfo, $filename) . "\n"; 
} 
finfo_close($finfo);

Muchas gracias

Saludos!

urgido · #13 (**permalink**) 23/10/2009, 18:12

q error despliega?

murderer · #14 (**permalink**) 23/10/2009, 18:13

Código PHP:

  Warning: finfo_open() expects parameter 1 to be long, string given in /www/miweb.com/web/usercontrolpanel.php on line 86


Warning: finfo_close(): supplied argument is not a valid file_info resource in /www/miweb.com/web/usercontrolpanel.php on line 90

Saludos!

abimaelrc · #15 (**permalink**) 23/10/2009, 18:14

Porque quisiste seguir el ejemplo literalmente. En primer lugar no debes escribir el foreach. Si vas a usar una direccion no debes colocarlo dentro de un foreach, con solamente abrir con finfo_open, luego hacer el echo con finfo_file y luego cerrar con finfo_close.

urgido · #16 (**permalink**) 23/10/2009, 18:16

la respuesta de @abimaelrc ya te lo dijo todo ;D

codig0 · #17 (**permalink**) 23/10/2009, 18:16

Si vas a utilizar solo imágenes no necesitas nada más que ImageSX para saber el ancho y ImageSY para saber el alto, las únicas que tienen medidas son las imágenes, así que con eso no podrían subirte un archivo con otra extensión renombrado.

murderer · #18 (**permalink**) 23/10/2009, 18:35

Cita:

Iniciado por abimaelrc

Porque quisiste seguir el ejemplo literalmente. En primer lugar no debes escribir el foreach. Si vas a usar una direccion no debes colocarlo dentro de un foreach, con solamente abrir con finfo_open, luego hacer el echo con finfo_file y luego cerrar con finfo_close.

Otra vez lo hice muy literalmente:

Código PHP:

  $filename = "img/group.png"; 
$finfo = finfo_open(FILEINFO_MIME_TYPE);  
echo $finfo; //con solamente abrir con finfo_open, 
echo finfo_file("$finfo, $filename") . "\n"; // luego hacer el echo con finfo_file 
finfo_close($finfo); //luego cerrar con finfo_close.

Envia esto:

Código PHP:

  Warning: finfo_open() expects parameter 1 to be long, string given in /www/comunidad-misiones.com/sinepzia/usercontrolpanel.php on line 86 
 
Warning: finfo_file() expects at least 2 parameters, 1 given in /www/comunidad-misiones.com/sinepzia/usercontrolpanel.php on line 88 
 
Warning: finfo_close(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/sinepzia/usercontrolpanel.php on line 89

Cita:

Iniciado por codig0

Si vas a utilizar solo imágenes no necesitas nada más que ImageSX para saber el ancho y ImageSY para saber el alto, las únicas que tienen medidas son las imágenes, así que con eso no podrían subirte un archivo con otra extensión renombrado.

Y pero entonces cómo haría si quiero hacer este mismo script para videos?

No saben cuanto admiro su paciencia.

Saludos!

urgido · #19 (**permalink**) 23/10/2009, 18:40

Código php:

Ver original$filename = "img/group.png";
$finfo = finfo_open(FILEINFO_MIME_TYPE,$filename); 
echo $finfo; //con solamente abrir con finfo_open,
echo finfo_file($finfo, $filename) . "\n"; // luego hacer el echo con finfo_file
finfo_close($finfo); //luego cerrar con finfo_close.

murderer · #20 (**permalink**) 23/10/2009, 18:45

Sigue el mismo problema =(

Saludos!

urgido · #21 (**permalink**) 23/10/2009, 18:46

seguro que la ruta en $filename es correcta?

murderer · #22 (**permalink**) 23/10/2009, 18:49

Si, completamente, lo que me parece raro es que esta función no aparece en azul oscuro como todas las otras en el Dreamweaver.

Saludos!

urgido · #23 (**permalink**) 23/10/2009, 18:51

cambia $finfo = finfo_open(FILEINFO_MIME_TYPE,$filename); por
$finfo = finfo_open(FILEINFO_MIME);

murderer · #24 (**permalink**) 23/10/2009, 18:56

Devuelve esto

Código PHP:

  Resource id #6PNG image data, 64 x 58, 8-bit/color RGBA, non-interlaced

Saludos!

urgido · #25 (**permalink**) 23/10/2009, 19:02

reemplaza $finfo = finfo_open(FILEINFO_MIME); por $finfo = finfo_open(FILEINFO_MIME_TYPE);

murderer · #26 (**permalink**) 23/10/2009, 19:10

Tira los mismos errores.

Saludos!

urgido · #27 (**permalink**) 23/10/2009, 19:15

Código PHP:

Ver original$filename = "img/group.png";
$finfo = finfo_open(FILEINFO_MIME_TYPE); // return mime type ala mimetype extension
foreach (glob("*") as $filename) {
    echo finfo_file($finfo, $filename) . "\n";
}
finfo_close($finfo);

asi ya debe funcionar...

murderer · #28 (**permalink**) 23/10/2009, 19:19

Superamos el record de errores

.

Código PHP:

  Warning: finfo_open() expects parameter 1 to be long, string given in /www/comunidad-misiones.com/sinepzia/usercontrolpanel.php on line 86

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_file(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 88

Warning: finfo_close(): supplied argument is not a valid file_info resource in /www/comunidad-misiones.com/web/usercontrolpanel.php on line 90

Saludos!

urgido · #29 (**permalink**) 23/10/2009, 19:21

no pss dejalo como estaba por lo que veo tú ni te has acomedido a moverle :D

murderer · #30 (**permalink**) 24/10/2009, 17:33

Y por qué no usar finfo_open(FILEINFO_MIME)?

Saludos!