Xpoint
   [напомнить пароль]

распознование mime type при помощи php

Метки: [без меток]
2009-10-22 18:14:38 [обр] Амир(0/4)[досье]
Здравствуйте,
как правильно и безошибочно распознавать mime type файла при помощи PHP,во время UPLOAD файла ?
Функция mime_content_type(); ,использует magic.mime и выдаёт не верный mime type на некоторые файлы,которые популярные в мобильных устройствах (mmf,wbmp и т.д).
Подскажите пожалуйста,логику распознования,которая наиболее зарекомендовала себя.
Хочется чтобы upload файла,был безопасным,распознование было точным и не сильно ресурсоёмким.
спустя 47 минут [обр] Давид Мзареулян(536/1003)[досье]

> Хочется чтобы upload файла,был безопасным

Тогда — строго по анализу содержимого файлов. Берёте стандарт на mmf, wbmp и прочих покемонов, и проверяете, корректный пришёл файл.

спустя 1 день [обр] Амир(0/4)[досье]
ресурсоёмко получается.
погуглил,решил для себя:
1.определять по расширению
2.переименовывать
3.хранить в папке где отключён PHP
3.выдавать с другого поддомена.
спустя 6 часов [обр] Давид Мзареулян(536/1003)[досье]
Амир[досье] Ну тогда и не морочте людям голову с «безопасностью».
спустя 6 часов [обр] Амир(0/4)[досье]
Давид Мзареулян[досье],а выбранная мною логика при upload не безопасна ?
Подскажите пожалуйста, мне это важно, какие могут проблемы возникнуть ?
Я подумал если переименую файл +принудительно приведу к расширению ожидаемому, и буду хранить его вне директории доступной из web,
отдавая с помощью mod_secdownload,с другого поддомена я смогу избежать,
вызова файла как программы,
или кражи личных данных у юзера.
спустя 13 часов [обр] Dennis F. Latypoff aka funky_dennis(4/78)[досье]
Амир[досье]
Я могу позволить заливать на мой сервер вирусы, и для меня это будет абсолютно безопасно. Ибо байты - они и в африке байты - принял, отдал. Не морочьте людям голову с безопасностью.
спустя 4 дня [обр] Амир(0/4)[досье]

Dennis F. Latypoff aka funky_dennis[досье],с безопасностью сервера как мне кажется решил я.
теперь от встроенных в изображения xss ,хочется хоть немного обезапасить посетителя.
потому что загружаемые изображения будут показываться на страницах сайта.
для того чтобы не было к пользовательским данным доступа ,отдаю изображения с поддомена.
остался вопрос,чтобы xss через DOM не изменял содержание страниц и так далее.
особенностей браузеров всех я не знаю,
поэтому xss фильтры мне кажется могут не сработать,когда меняют кодировку в xss.
решил, создавать новое изображение очистив метатэги изображений и копировать туда исходное изображение.

а просто отдавать байты оказывается небезопасно.

Powered by POEM™ Engine Copyright © 2002-2005