标签：image security image-processing php image-uploading

好的,所以我已经看到了很多有关如何保护图像上传表单的讨论,但是没有人告诉我,该怎么做才能100％阻止恶意代码通过我的应用程序上传.

我目前正在考虑重新创建图像,因为我看到这将是一种非常安全的方法.可以？还有什么其他选择？这些方法还优选哪些扩展名？

解决方法:

I’m currently thinking about image re-creation, as I saw that it
would be quite a secure method.

除非您用于重新创建的库不易受攻击：P.但是,认真的说,我认为这不是一个坏主意,在大多数情况下,它可以改善安全性.

为了提高安全性,您还可以使用Fileinfo functions(早期版本的PHP中的mime_content_type())检测内容类型.

关于较旧的Mimetype扩展的摘录形式的PHP手册,现已由Fileinfo代替：

The functions in this module try to guess the content type and
encoding of a file by looking for certain magic byte sequences at
specific positions within the file. While this is not a bullet proof
approach the heuristics used do a very good job.

至于问题,哪种PHP扩展最适合用于安全图像重新创建…我已经检查了CVE details网站.我认为适用的三重奏是那些扩展：

> GD(6个漏洞)
> ImageMagick(44个漏洞)
> Gmagick(12个漏洞)

通过比较,我认为GD最适合,因为它的安全性问题数量最少,而且它们已经很老了.其中三个非常关键,但是ImagMagick和Gmagick的性能却没有任何提高…ImageMagick似乎非常容易出错(至少在安全性方面),因此我选择Gmagick作为第二个选项.

标签：image,security,image-processing,php,image-uploading
来源： https://codeday.me/bug/20191122/2057029.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。