图片上传安全处理

对于用户上传的图片，必须要进行判断和处理，防止含有恶意代码的图片上传到服务器，造成安全隐患。

l 处理原理：对图片类型进行简单的检测，并以原图进行重新生成（重新生成会打乱其中的恶意代码）

l 处理方法（用此方法替换move_uploaded_file）：

<?php
/*
 * 进行简单图片判断并上传（jpg,gif,png）
 *@param $file  $_FILES['']获取的值 ; $path 图片生成的物理路径（包含图片名称）
 *return 上传成功 true ;  图片类型异常 -1 ;上传失败 false;
 */
function image_save($file,$path){
  if ($file["type"] == "image/gif") {
    @$im = imagecreatefromgif($file['tmp_name']);
    if($im){
    	$sign = imagegif($im,$path);    
    }else{
    	return -1;
    }
  } elseif ($file["type"] == "image/png" || $file["type"] == "image/x-png") {
    @$im = imagecreatefrompng($file['tmp_name']);
    if($im){
    	$sign = imagepng($im,$path);    
    }else{
    	return -1;
    }
  } else {
    @$im = imagecreatefromjpeg($file['tmp_name']);
    if($im){
    	$sign = imagejpeg($im,$path,100);    
    }else{
    	return -1;
    }
  }
  return $sign;
}

 

评论

3 楼 xiaoyu_91 2013-03-15  

alfred_long 写道

xiaoyu_91 写道

这个方法就是复制上传文件，然后看是否与源文件一致，不一致则不允许上传吗？

是先判断是否为符合类型的图片，之后以原图片为原型重新生成一张图片。

生成失败的话就是不合法的图片类型，是吧，明了了！

2 楼 alfred_long 2013-02-22  

xiaoyu_91 写道

这个方法就是复制上传文件，然后看是否与源文件一致，不一致则不允许上传吗？

是先判断是否为符合类型的图片，之后以原图片为原型重新生成一张图片。

1 楼 xiaoyu_91 2013-02-21  

这个方法就是复制上传文件，然后看是否与源文件一致，不一致则不允许上传吗？