-
1. Data: 2012-08-18 18:40:29
Temat: obrazki
Od: "identyfikator: 20040501" <N...@g...pl>
nurtują mnie dwa zagadnienia,
- jakie warunki należy spełnić, żeby coś takiego działało <img
src="obrazki.php?id=123456">? chodzi mi o to jakie nagłówki musi wysłać
skrypt php?
- jeśli mój skrypt php wykryje po magic numbers, że plik jest na przykład
obrazkiem bmp, a jakiś szalony hacker dalej po tym nagłówku wklei kod
wirusa, to czy przy wywołaniu jak wyżej może się stać tak, że w przeglądarce
pojawi się próba zapisania na dysk?
-
2. Data: 2012-08-21 22:15:54
Temat: Re: obrazki
Od: Exe Very Cute <k...@p...onIet.pl>
W dniu 2012-08-18 18:40, identyfikator: 20040501 pisze:
> nurtują mnie dwa zagadnienia,
> - jakie warunki należy spełnić, żeby coś takiego działało <img
> src="obrazki.php?id=123456">? chodzi mi o to jakie nagłówki musi wysłać
> skrypt php?
Typ MIME, przede wszystkim (Content-Type: coś/coś, np. image/gif).
Dobrze zadbać też o przeglądarkowy cache żeby nie obciążać niepotrzebnie
serwera.
> - jeśli mój skrypt php wykryje po magic numbers, że plik jest na
> przykład obrazkiem bmp, a jakiś szalony hacker dalej po tym nagłówku
> wklei kod wirusa, to czy przy wywołaniu jak wyżej może się stać tak, że
> w przeglądarce pojawi się próba zapisania na dysk?
Co do pierwszej części - to już zależy od samego skryptu wysyłającego
obrazek, jego ogólnego poziomu bezpieczeństwa że tak się wyrażę.
Co do zapisu na dysk - tak, jest od tego odpowiedni nagłówek -
Content-Disposition: attachment; Powinieneś zapewnić na tyle wysoki
poziom bezpieczeństwa skryptu żeby nikt ni mógł takiego nagłówka
wstrzyknąć (co powinno być proste - bo nie wyobrażam sobie żeby tak
spartolić skrypt :/)
Pozdr
Exe Very Cute