Говнокод #2745 — PHP — Говнокод.ру

Говнокод: по колено в коде.

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

PHP / Говнокод #2745

+157.2

public function is_image($mime) {
		//Функция проверяет по mime типу является ли поступивший файл изображением
		$images_mime = array('image/jpeg','image/pjpeg','image/png','image/cgm','image/fits','image/g3fax',
							'image/gif','image/ief','image/jp2','image/jpm','image/jpx','image/naplps',
							'image/prs.btif','image/prs.pti','image/t38','image/tiff','image/tiff-fx',
							'image/vnd.adobe.photoshop','image/vnd.cns.inf2','image/vnd.djvu','image/vnd.dwg',
							'image/vnd.dxf','image/vnd.fastbidsheet','image/vnd.fpx','image/vnd.fst',
							'image/vnd.fujixerox.edmics-mmr','image/vnd.fujixerox.edmics-rlc','image/vnd.globalgraphics.pgb',
							'image/vnd.microsoft.icon','image/vnd.mix','image/vnd.ms-modi','image/vnd.net-fpx',
							'image/vnd.sealed.png','image/vnd.sealedmedia.softseal.gif','image/vnd.sealedmedia.softseal.jpg',
							'image/vnd.svf','image/vnd.wap.wbmp','image/vnd.xiff');
		if(!in_array($mime,$images_mime)) {
			//Не было найдено совпадений mime типа - это не картинка
			return false;
		}
		else {
			//Было найдено совпадение mime типа
			return true;
		}
	}

Кучка бредокода ради закрытия уязвимости.

Запостил:

Subsanek, 10 Марта 2010

Комментарии (28) RSS

mrbig66 10.03.2010 16:37 # +2

Лучше заливать через библиотеку GD.
Ответить
- Subsanek 10.03.2010 16:45 # 0
  
  Да, но эта самая библиотека не везде установлена, так что если ее нет, то юзер вообще не загрузит картинку, а это не гуд.
  Потом через GD напишу уменьшение размера.
  Ответить
  - guest 10.03.2010 16:47 # 0
    
    А откуда тогда берется mime?
    Ответить
    - Subsanek 10.03.2010 16:52 # +1
      
      Дык $_FILES['filename']['type'];
      Функция кстати нормально работает и закрыла критическую уязвимость в проекте.
      Ответить
      - murz 10.03.2010 17:44 # +4
        
        А Вы знаете, что $_FILES['filename']['type'] передает браузер?
        Т.е., если я буду отправлять файл сам и подставлю mime как у картинки, то я смогу загрузить любой файл.
        Ответить
        
        Subsanek 10.03.2010 17:48 # 0
        
        В коде, где собственно происходит загрузка уже проверяется, что все файлы и данные были переданы именно из формы.
        Ответить
        
        murz 10.03.2010 17:50 # 0
        
        И как это проверяется?
        Ответить
        
        Subsanek 10.03.2010 18:00 # −2
        
        elseif (isset($_POST['submit_bottom']) ) {
        Ответить
        
        murz 10.03.2010 18:06 # 0
        
        Если я смог отправить файл, то труда не составит отправить другие POST-данные
        Ответить
        
        Subsanek 10.03.2010 18:09 # 0
        
        Хм, и как с этим бороться?
        P.S в проекте загрузка картинок только в админском разделе происходит.
        Так что думаю это не так уязвимо будет, но все же интересно как бороться с этим?
        Ответить
        
        murz 10.03.2010 18:13 # 0
        
        Для админки, конечно, не страшно. А так как в первом комменте было, через GD
        Ответить
        
        guest 10.03.2010 18:13 # +2
        
        Обратись к функции getimagesize() - она не требует GD, а mime-тип изображения определяет успешно.
        Ответить
        
        guest 10.03.2010 19:00 # 0
        
        Что мешает запихнуть в начало файла заголовок от картинки, а дальше написать все тот-же php код(или от чего там защищаются)?
        Ответить
        
        guest 11.03.2010 11:54 # 0
        
        Никак. Все данные поступающие в скрипт потенциально подделаны.
        Ответить
        
        rakoth3d 11.03.2010 03:12 # +2
        
        блин, как я сразу не доумался проверять входящие данные по наличию ключа submit_BOTTOM =) ??
        Ответить
        
        Subsanek 11.03.2010 13:00 # 0
        
        Я знаю, что криво написано, пока влом исправлять.
        Все потом.
        Ответить
  - mrbig66 11.03.2010 09:25 # +3
    
    Если у хостера нет GD, то и нечего там размещать проекты, требующие такой безопасности.
    
    ЗЫ проверка Mime это скорее не преграда от хакера, а просто ограничение. Мало ли человек нечаянно начнет bmp загружать или tiff (если это не входит в проект).
    Ответить
guest 10.03.2010 17:33 # +1

Код вполне нормальный для собственной заливалки изображений.
Если понаглеть, то :
/* 1 */ $images_mime = array('jpeg','pjpeg'....); // меньше пхать в память
/* 2 */ return (!in_array('image/'.$mime,$images_mime))
Ответить
- Subsanek 10.03.2010 17:49 # 0
  
  Спасибо, исправлю.
  Ответить
- Subsanek 10.03.2010 17:54 # 0
  
  Неа, так не работает.
  Ответить
  - guest 10.03.2010 18:11 # 0
    
    а тьфу, двое суток не сплю...
    
    $images_mime верни как было, просто
    return (!in_array($mime,$images_mime))
    
    PS - почитай про ф-цию exif_imagetype()
    ^_^
    Ответить
- guest 10.03.2010 18:10 # 0
  !
  лишний
  Ответить
  - Subsanek 11.03.2010 13:40 # 0
    
    Теперь работает.
    А то я что-то жирно написал, на производительность влиляло бы плохо.
    Ответить
Subsanek 10.03.2010 19:58 # 0

Всем спасибо, все равно проект только в стадии разработки так что завтра все допилю.
Ответить
guest 10.03.2010 23:30 # 0

ещё убери пунктационные ошибки, глаза хочется выколоть
Ответить
- Subsanek 11.03.2010 07:18 # 0
  
  Это само собой на стадии тестирования.
  Ответить
  - guest 11.03.2010 09:11 # 0
    
    Комментарии тоже в стадии тестирования?
    Ответить
Subsanek 11.03.2010 12:19 # 0

В общем да. На тестирование много время просто отводить и попутно весь код пересмотреть и подкорректировать.
Я так например делаю.
Ответить

Говнокод: по колено в коде.

PHP / Говнокод #2745

Комментарии (28) RSS

Добавить комментарий