偽の画像のセキュリティの懸念/防止のアップロード

Question

私はPHPのWebアプリケーションを構築しており、画像のアップロードも含まれています。私は偽の画像のアップロードを防ぐことについて読んだ。しかし、偽の画像とは何ですか？また、サーバーを攻撃するためにどのように使用できますか？

PHP関数getimagesize()を使用してファイルの拡張子を確認し、画像による可能性のあるすべての攻撃を排除すれば十分ですか？

Answer 1

偽の画像の一例は、画像の代わりにPHPファイルをアップロードしてから、サーバーを騙して実行することです。この種の攻撃を防ぐには、ユーザーがサーバーにイメージを保存するために使用するファイル拡張子を選択したり、ドキュメントルートの外側にアップロードされたイメージを格納しないようにするなど、いくつかのオプションがあります（必要に応じてfile_get_contentsを使用して読み取ります）。

Answer 2

偽の画像がどのようなものであるかの良い説明については、@Chrisの説明を参照してください。

偽の画像の意図は、実行可能コードをサーバーに置くことです。ユーザーがアップロードしたイメージをドキュメントルートの外に保存することは良い考えです。もう一つの良いアイデアは、ファイルが本当にイメージかどうかを確認することです。おそらく

ファイルが有効なイメージであるかどうかを確認する最速の方法：詳細と例について

function isValidImage($file) { 
    return (false === exif_imagetype($file)) ? FALSE : TRUE; 
} 

チェックhttp://php.net/manual/en/function.exif-imagetype.php。