Проверка изображений при загрузке (безопасность) и сама загрузка

[acteralex]

Добрый день!
После прочтения парочкм статей про загрузку файлов и со стороны "умного" пользователь послать файл не только картинки, но и php... так вот...ВОПРОСЫ:

1) что за ошибка?

Код HTML:

Warning: move_uploaded_file(uploads/sdfsdf.jpg) [function.move-uploaded-file]: failed to open stream: No such file or directory in E:\Program files\VertrigoServ\www\love\upload.php on line 16

Warning: move_uploaded_file() [function.move-uploaded-file]: Unable to move 'C:\Users\Alex\AppData\Local\Temp\php7365.tmp' to 'uploads/sdfsdf.jpg' in E:\Program files\VertrigoServ\www\love\upload.php on line 16
 File uploading failed

.

2) Как лучше защитить "сайт"?

Вот собственно код, стырил на хабре...

PHP код:

<?php

$blacklist = array(".php", ".phtml", ".php3", ".php4", ".gif", ".png", ".psd", ".js");

foreach ($blacklist as $item){
    if(preg_match("/$item\$/i", $_FILES['photo_1']['name'])){
        echo "We do not allow uploading PHP files\n";
        exit;
    }
}

$uploaddir = 'uploads/';

$uploadfile = $uploaddir . basename($_FILES['photo_1']['name']);

if(move_uploaded_file($_FILES['photo_1']['tmp_name'], $uploadfile)){
    echo "File is valid, and was successfully uploaded.\n";
}else{
    echo "File uploading failed.\n";
}
?>

[ADSoft]

чтобы проверить является ли ваш файл картинокй - лучше вытаскивать например миме-тип и размеры изображения непосредственно из картинки

Код:

	 $img = getimagesize($name);

[Виталий Желтяков]

Код:

$blacklist = array(".php", ".phtml", ".php3", ".php4", ".gif", ".png", ".psd", ".js");

foreach ($blacklist as $item){
    if(preg_match("/$item\$/i", $_FILES['photo_1']['name'])){
        echo "We do not allow uploading PHP files\n";
        exit;
    }
}

Весьма сомнительная проверка. Меньше верьте примерам на Хабре - там уровень быдлокодеров зашкаливает.

Используйте примерно такой код:

Код:

		// Размер изображения
		$max_image_size = 64*1024;
		if (isset($_FILES["avatarfile"])) {
			if (is_uploaded_file($_FILES['avatarfile']['tmp_name'])) {
				$file = $_FILES['avatarfile']['tmp_name'];
		      if (substr($_FILES['avatarfile']['type'],0,5) == 'image') {
		      	if (filesize($file) <= $max_image_size) {
				 		// Сохраняем файл в каталоге avatars
						$newname=time();
				 		if (move_uploaded_file($file, "images/avatars/".$newname.".gif")) {
							unlink('images/avatars/'.$_SESSION['avatar'].'.gif');

[acteralex]

Виталий Желтяков, спасибо большое)))

Форумчане, друзья, кто-нибудь ещё скажет... или все согласны с Виталей?

[Cronos20]

Да-да, мы как на выборах "согласны" )))
К тому же особой проблемы тут я не вижу ... да и других вариантов помимо mime типа не придумаешь.
Единственное, что я когда-то тоже использовал $newname=time(); ... так вот на нагруженной системе случались конфликты, всего пару раз, но было )) Так что теперь генерирую случайную строку и проверяю новое название файла.

[Виталий Желтяков]

Цитата:

Сообщение от Cronos20

Да-да, мы как на выборах "согласны" )))
К тому же особой проблемы тут я не вижу ... да и других вариантов помимо mime типа не придумаешь.
Единственное, что я когда-то тоже использовал $newname=time(); ... так вот на нагруженной системе случались конфликты, всего пару раз, но было )) Так что теперь генерирую случайную строку и проверяю новое название файла.

Да, точно. Замените $newname=time();

[ADSoft]

я обычно использую $newname=md5(time().random())

[PAAG]

Цитата:

Сообщение от acteralex

Виталий Желтяков, спасибо большое)))

Форумчане, друзья, кто-нибудь ещё скажет... или все согласны с Виталей?

А чего тут голосовать? Вам дали действующий пример - применяйте.

Цитата:

Сообщение от ADSoft

я обычно использую $newname=md5(time().random())

Да, я тоже сочетаю время с рандомом, позволяет избежать конфликтов.

[acteralex]

PAAG, имелось ввиду, что может есть ещё какая-то защита, а не голосование!