Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Регулярка для фильтра файлов
Форумы портала PHP.SU » PHP » Регулярные выражения » Регулярка для фильтра файлов

Страниц (1): [1]
 

1. varyag - 24 Марта, 2011 - 09:18:49 - перейти к сообщению
Здравствуйте. Написал свою первую(!) регулярку. Хочу сделать защиту от загрузки файлов типа .php, чтобы вместо картинок мне не закачали чегонить страшное. (еще проверяю mime тип, но в инете прочитал что его подделывают)
PHP:
скопировать код в буфер обмена
  1. $stroka='index.jpeg';
  2. if(preg_match("/^[\w]*[.][jpeg]{3,4}$/",$stroka,$mass)){
  3.         print_r ($mass);
  4. }else{
  5.         echo 'false';
  6. }


регулярка работает, но я не уверен, что она надежная. Однако
2. EuGen - 24 Марта, 2011 - 09:32:50 - перейти к сообщению
Проверка по расширению - тем более.
Ну а если и проверять, то учитывать jpeg|jpg и регистр не учитывать при проверке.
3. varyag - 24 Марта, 2011 - 09:48:55 - перейти к сообщению
Цитата:
Проверка по расширению - тем более.

EuGen, ни совсем понял мысль

улучшил регулярное выражение с учетом Ваших замечаний:
PHP:
скопировать код в буфер обмена
  1. preg_match("/^[\w]*[.][jpeg|jpg|png|gif]{3,4}$/i",$stroka,$mass)
4. Мелкий - 24 Марта, 2011 - 10:51:05 - перейти к сообщению
varyag пишет:
(еще проверяю mime тип, но в инете прочитал что его подделывают)

Смотря который.
Тот, который в $_FILES - подделывается легко. Вычисляемый на месте mime_content_type - не подделывается.
5. varyag - 24 Марта, 2011 - 10:55:17 - перейти к сообщению
Мелкий, да, проверяю по $_FILES
6. JustUserR - 25 Марта, 2011 - 21:33:46 - перейти к сообщению
Мелкий пишет:
Вычисляемый на месте mime_content_type - не подделывается
В действительности для осуществления решения предполагаемой задачи, заключающеся в организации увеличения уровня безопасности для целевого web-ресурса, производимого на основании осуществления включения дополнительного ограничения, используемого для транспортируемых пользователем файловых объектов на целевой web-сервер, необходимо произведение верификации конфигурации локальной URL-области отонсительно определяемых MIME-типов в конечном базовом элеметном уровне трактования, а также сопоставленным параметрам каскадного исполнения ассоциированных объеков
7. varyag - 26 Марта, 2011 - 15:46:27 - перейти к сообщению
JustUserR, Вы про что? я не понял это
Цитата:
необходимо произведение верификации конфигурации локальной URL-области отонсительно определяемых MIME-типов в конечном базовом элеметном уровне трактования, а также сопоставленным параметрам каскадного исполнения ассоциированных объеков
8. Champion - 26 Марта, 2011 - 21:07:48 - перейти к сообщению
varyag пишет:
Вы про что? я не понял это
Да не обращай внимания. Он просто так написал.
varyag пишет:
[jpeg|jpg|png|gif]{3,4}$
Этому шаблону будут соответствовать расширения jn|g, gei, ||| и еще много других.
/\.(?:ext1|ext2|ext3)$/i - разрешить допустимые расширения ext1, ext2, ext3
/\.(?=\w)(?!ext1|ext2|ext3)\w+$/i - рапретить эти же три расширения.

Проверять лучше по расширению, потому что если кто-то загрузит файл с расширением жпег и в нем будет пхп код, то правильно настроенный веб сервер не будет выполнять php код в файле с другим расширением.
9. JustUserR - 28 Марта, 2011 - 02:09:43 - перейти к сообщению
varyag пишет:
JustUserR, Вы про что? я не понял это
Осуществление использование предполагаемого рассматриваемого аспекта функционирования, относительно системы поддержки автоматического определения параметра MIME-типов для целевых файловых ресурсов, в действительности обеспечивает внешнюю зависимости от конфигурации сопоставлений целевых MIME-типов в операционной системе, а также вложенному каскадному определению параметов alias-инга и действенного перенаправления для предполагаемой виртуальной области web-сервера

 

Powered by ExBB FM 1.0 RC1