Как защититься от взлома при загрузки файлов на сервер?

[kpe8eg]

Вообще в принципе миме тайп не спасет, и расширение.
Самое оптимальное на мой взгляд, если мало догадываешься как будут заливать. Самому выдавать имя файла и ставить расширение. Т.е без участия юзера в выборе имени файла.
То есть рандомно ставить имя, и расширение к примеру по условию. К примеру: auv844md.jpg
По поводу проверки размеров картинок, давно обходится уже. В хексе поправить немного картинку, будет картинка точно такая как и прежде, но уже с php кодом внутри.

 

[kosmosrus]

Запрети им грузить файлы на сервер, пусть поднимают файлообменники!

 

[saen]

Вообще в принципе миме тайп не спасет, и расширение.
Самое оптимальное на мой взгляд, если мало догадываешься как будут заливать. Самому выдавать имя файла и ставить расширение. Т.е без участия юзера в выборе имени файла.
То есть рандомно ставить имя, и расширение к примеру по условию. К примеру: auv844md.jpg
По поводу проверки размеров картинок, давно обходится уже. В хексе поправить немного картинку, будет картинка точно такая как и прежде, но уже с php кодом внутри.

самое оптимальное - это ставить в правах на файл запрет на исполнение, и уже не важно что тебе захотят подсунуть под видом картинки.

Добавлено через 52 секунды

Запрети им грузить файлы на сервер, пусть поднимают файлообменники!

ты наверное сам понимешь что несешь бред, а за набор постов можно попасть в бан

 

[trooll]

kosmosrus - археолог твою за ухо, прям реаниматор, тему оживил

По теме топика:
На загружаемые файлы с начало запрет на выполнение при переноси из темп папки. Дальше уже смотрим от чего защититься хотим (банальная валидность формата, встроенные исполняемый коды, проверка антивирусами есть куча сервисов он-лайн проверки и т.д.) и собственно защищаемся.