31-03-2009, 12:56
|
מנהל
|
|
חבר מתאריך: 26.07.08
הודעות: 6,473
|
|
ציטוט:
אבל אם הבנתי נכון את שימי, המשתמש יכול לשלוט במידע שנשלח לשרת.
לכן מה משנה הבדיקה, אם גם ככה המשתמש מחליט מה לשלוח אליה, בלי קשר לנתוני הקובץ?
|
זה לא משנה מה המשתמש ישלח, כל עוד תבדוק שהפורמט תקין ומתאים לרשימת הפורמטים שאישרת להעלות (gif, jpeg וכו'...).
הרי אם הפורמט תקין, זה לא משנה התוכן של המידע כל עוד התוכנות שמשתמשות בקובץ יפענחו אותו בהתאם לפורמט שהוצהר עליו בתחילת הקובץ (הרישה \ header של הקובץ)
ציטוט:
ועוד משהו, אם אני לא טועה את הפונקציה getimagesize אני יכול לבצע רק אחרי שהעלאתי את הקובץ לשרת.
|
נכון, כלומר אתה חייב לקבל את התוכן של קובץ התמונה.
ציטוט:
או שאולי אני אוכל לבצע את הפונקציה על הכתובת שאני מקבל מ $_FILES['pic']['tmp_name']?
|
האיבר $_FILES['pic']['tmp_name'] מפנה אותך לקובץ שנמצא בתיקייה הזמנית של הקבצים שהועלו... לא...? זה אמור להיות על השרת...
מלבד הבדיקות האלו, אפשר וכדאי לבצע בדיקות בצד לקוח + צד שרת לגבי הסיומת של הקובץ... (לא מזיק)
|