Делаю скрипт загрузки файлов, подскажите по безопасности

[Русская мафия]

http://habrahabr.ru/blogs/php/44610/

Прочитал эту статью, и не понял, хватит ли мне всего одного этого метода -

Цитата:

Проверка расширения загружаемого файла
Читатель этой статьи мог бы задаться вопросом, почему мы просто не проверяем расширение загруженного файла? Если мы не позволим загружать файлы *.php, то сервер никогда не сможет выполнить этот файл как скрипт. Давайте рассмотрим и этот подход.

Мы можем сделать черный список расширений файла и проверить имя загружаемого файла, игнорируя загрузку файла с выполняемыми расширениями (upload4.php):

PHP код:

<?php
 $blacklist = array(".php", ".phtml", ".php3", ".php4");
 foreach ($blacklist as $item) {
  if(preg_match("/$item\$/i", $_FILES['userfile']['name'])) {
   echo "We do not allow uploading PHP files\n";
   exit;
   }
  }

  $uploaddir = 'uploads/';
  $uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

  if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
   echo "File is valid, and was successfully uploaded.\n";
  } else {
   echo "File uploading failed.\n";
  }
?>

Достаточно ли делать при загрузки только проверку на чёрный список, чтоб быть спокойным за безопасность?

[MonAmur]

имхо, лучше сделать список разрешенных форматов файлов.
Разрешённые типы файлов: bmp doc gif jpe jpeg jpg pdf png psd txt zip

[Русская мафия]

MonAmur, а почему нельзя чёрный список? Узнать у хостера список форматов, которые выполняются на сервере и в чёрный лист всё

[ahsinis]

а потом они сменят/установят какое-нить ПО и снова скрипт править

[Русская мафия]

Цитата:

Сообщение от ahsinis

а потом они сменят/установят какое-нить ПО и снова скрипт править

ну поправить не проблема мне просто нужно чтоб любые форматы загружались. кроме чёрного списка конечно же.
Есть ещё опасности, кроме того что сменить ПО может хостер?

[qwint]

статья правильная, вопрос в том что именно вы хотите загрузить :-) можно и в графику код запихнуть... можно открывать файл и искать в нем include print <? и прочую хрень, можно настроить сервак с отключением выполнения php кода в той папке в которую грузите что либо

и естественно проверка расширения и mime типа если он есть и нужен

[sylex]

в принципе безопасно, но все же лучше список допустимых расширений... так надежней... зачем разрешать грузить что попало?

Кто знает, какие настройки хостинга к примеру, и может скоро по дефолту будет ставиться какой-нить .php6, а у вас нет проверки на это, вы забыли, это было год назад, не проверяли - тут хоп, можно загрузить и выполнить)))

ну и если чудом получат доступ к .htaccess или конфигу апача - то понятно, что легко добавить произв. расширение - чтоб обрабатывалось PHP, но это вряд ли, конечно... обычно если имеют сюда доступ - то и доступ к сайту уже имеют)))

Я делаю "список допустимых расширений", имя файла генерю сам уникальное + расшиерние, так 100% безопасно... Можно еще в папке запретить выполнение скриптов.

[extruder]

А может проще сделать.
Выполнение через .htaccess разрешить только избранным, например php.
Грузить можно все, кроме избранных.

[Zloyz]

Список запрещенных не особо помогает, делать лучше через список разрешенных, потому что как известно есть одна недоработка апача, например можно загрузить файл somebadfile.php.1 и он будет обрабатыватся как пхп файл (исполнятся) а проверку на "плохой" файл пройдет

[ahsinis]

На самом деле все можно разрешить загружать, если запретить доступ к файлам напрямую через вебсервер (как например на форумах вложения делают)
Тогда пользователю надо отдавать файл через скрипт (правда при этом может увеличиться нагрузка на сервер при скачивании файлов)