Originariamente inviato da Cor3
Ma se modifichi la richiesta HTTP e setti il mimetype in image/jpg e usi come estensione php ti uppa un bello script php funzionante, quindi controlla l'estensione.
Per l'estensione puoi fare
Codice PHP:<?php
$parti = explode( ".", $nome_file );
$estensione = $parti[ count( $parti ) - 1 ];
if( $estensione == ... )
?>
Lo stesso si può dire della tua soluzione
(nel caso di immagini con getimagesize
si potrebbe stare sicuri perchè in caso
di file invalido la funzione genera un warning
o un notice dalla versione 5.2.3)
diciamo che per stare sicuri è meglio
fare tutti e due i controlli anzi dato che ci
siamo aggiungiamo anche controllare il
- referrer
- rinominare il file (nel tuo script se un file pippo.php.gif .......)
- e cambiare i permessi
se hai altro aggiungi ...
Rispondi quotando