 |
Nykomling
|
|
Reg.datum: Dec 2006
Inlägg: 2
|
|
|
Nykomling
Reg.datum: Dec 2006
Inlägg: 2
|
Det spelar ingen roll vad det är för filändelse, .jpg, .exe, .bat, .vbs utan det är informationen som finns lagrad i exif-värdena för bilden som läses utav exif_imagetype() så en executable kan ju knappast laddas som en bild i en webbläsare. Varje gång jag låter någon göra en upload till mina sajter via formulär så anger jag användarid:n eller md5-hashar som namn och skiter fullständigt i att applicera en filändelse som .jpg. Går ju smidigt att ladda dom in i en webbläsare oavsett filtyp eller inte, som exempelvis på förstasidan till dreamblue.se så visas bilder på senast inloggade och de bilderna består ju bara utav användarid som filnamn.
Det viktigaste som har pekats ut i denna tråden är ju som sagt att man skall kolla filens innehåll och verkligen verifiera att det är bildinformation man tar emot och inget annat. Redan försökt att ladda upp en massa potentiellt skadliga ting till mina sajter men exif_imagetype() och andra failsafes kickas ju in.
|