[info nodig] een goed upload script

[slabbetje]

heey ik wil een uploadscript schrijven maar ik zou echt niet weten wat ik nodig heb aan beveiligingen kan iemand mij hiermee helpen?
het script is bedoelt voor plaatjes, ik hoef geen codes te hebben alleen iets waar ik op moet letten want het moet gewoon heel veilig zijn en geen slap systeem zoals de meeste sites dat je een phpscript kan opslaan als een .jpg en vervolgens de hele site hacked

 

[SvU]

Je kunt alvast niet vertrouwen op de extensie, zoals je zelf al aangaf. Ook $_FILES['bestand']['type'] voor het mimetype is nog te manipuleren. De functie exif_imagetype() is het veiligst, maar wordt niet standaard ondersteund. Die functie leest de eerste bytes van het bestand op zoek naar de 'handtekening' van het bestand. Daar kun je wel op vertrouwen.

Dat is eigenlijk het voornaamste. En op zich, een .jpg met PHP-inhoud is niet per definitie gevaarlijk, omdat het toch niet als PHP wordt uitgevoerd, normaliter. Je zou ook getimagesize() kunnen gebruiken. Langzame functie, maar returnt FALSE als het geen image is, ook al eindigt het op .jpg.

 

[slabbetje]

nee het is niet per definitie gevaarlijk maar de gene die het upload is daar wel vrij in... en het word een upload script voor elke persoon die op mijn site komt net als bijv. photobucket

Edit
exif_imagetype();
deze functie word niet ondersteund bij mn host

 

[SvU]

getimagesize() wel, daar kom je al een heel eind mee. Is dus wel wat langzamer.

 

[slabbetje]

oke bedankt zolang het maar niet veel tragen is