Загрузка файлов на сервер. (безапасность) Посоветуйте

[dr.Chas]

Имеется ресурс. На нём пользователи могут загружать файлы. Как это всё организовать безапасно?

Я буду использовать белые списки типов файлов (от mimetype думаю отказатся). Разрешено: рисунки, архивы, доки.

Допустим я проверяю по типу файла закачиваю на сервер. Файлы эти только потом отдаются пользователю, плюс картинки могут использоваться при оформлении материала. Какие тут могут быть уязвимости или этого будет достаточно?

[Виталий Желтяков]

В .htaccess пропишите:

Код:

register_globals = off;

В настройках сервера:

Код:

allow_url_fopen = off;

При работе с файлами используем:

Код:

is_uploaded_file()
move_uploaded_file()

[dr.Chas]

Ну почти всё также, только это is_uploaded_file() не использовал, щас допишу. Ещё есть нюансы какие то?

[kpachbiu]

dr.Chas да вроде уже ответили на твой вопрос!
Проверяешь тип файла, его размер (Кб), размер картинок!

[Andkorol]

Для всех типов файлов:
- принудительное переименование и присваивание типа из "белого списка".
- запрет на прямой доступ и выполнение скриптов для директории с загруженными файлами.
- выдача файлов (неважно - картинки в текст страницы,или файлы для download) ТОЛЬКО при помощи скрипта - никакого прямого доступа к файлам.

Дополнительно для изображений:
- проверка типа файла при помощи getimagesize() .
- крайне желательно выполнять обязательный ресайз - хоть даже и сохраняя при этом исходные размеры изображения - поможет в борьбе с возможными шелл-кодами, вирусами и JS.

И вообще - в вопросах аплоада пользовательских файлов всегда лучше перебдеть...)))