dedlfix: Dateiupload und Sicherheit / lesbarer

Beitrag lesen

Tach!

In Verzeichnissen, wo Du hochgeladene Dateien sicher speicherst, wird eine .htaccess gar nicht wirksam. Es sei denn, Du verbiegst mit Deinem Framework DOCUMENT_ROOT aber da musst Du schon genau wissen was Du tust.

Ein Framework verändert die Apache-Konfiguration? Und sonst so?

Tipp: Begrenze die Länge eines Upload-Streams und guck dass nicht irgendwo temporäre Dateien hängenbleiben.

Das verstehe ich leider nicht.

Keine Sorge, auch viele andere verstehen oftmals nicht, was pl wirklich meint.

Üblicherweise muss man bei PHP die Konfigurationswerte so verändern, dass die Upload-Begrenzung hochgesetzt wird, weil die Standardwerte für heutige Datenmengen meist zu klein sind, gerade bei Bildern. 2MB dürfen Upload-Datei groß sein, 8M der gesamte POST-Request. Die Speicherbegrenzung ist 128MB, was für Bildverarbeitung auch nicht gerade viel ist.

PHP räumt seine eigenen temporären Dateien selbst auf. Das gilt auch für Uploads. Wenn man temporäre Dateien selbst anlegt, sollte man das mit tmpfile() tun, die werden auch zum Scriptende (oder beim expliziten Schließen) aufgeräumt.

Andere Frage: Ich verändere in jedem Fall die upgeloadeten Bilder mit imagick. Was würde imagick denn machen, wenn hier ein manipuliertes Bild ankäme?

Was würdest du denn machen, wenn du manipulierte Daten bekommst? Die eigentliche Frage ist, wie du das für alle möglichen Manipulationen erkennen willst. Mit anderen Worten: Deine Frage kann dir keiner auf generelle Weise beantworten. Da musst du schon mit konkreten Daten kommen und dann schauen (zur Not in seinem Code), was imagick damit anstellt. Das kann von Ignorieren über Fehlermeldung ausgeben bis hin zu wegen Pufferüberlauf oder ähnlichem mit anschließendem unberechenbarem Verhalten alles mögliche sein.

dedlfix.