我知道,我知道,这个标题有点糟糕,但我会尽力解释我的意思。所以,我要求我的成员展示他们的照片。他们将照片上传到某个地方,然后将其照片的URL粘贴到输入框中,我将其保存到我的数据库(MYSQL)中。然后,这张照片就会在他们的个人资料中显示出来。我从数据库获取URL并执行以下操作:<img src="<?=$photo;?>" height="123px" width="123px">"> 其中$photo是从MYSQL获取的URL。这样做是否完全安全?有人可以上传例如.php文件并损害我的网站吗?我需要检查URL的结尾是否为.gif、.png和.jpg吗?
谢谢。
编辑:是的,当然我会保护我的网站免受SQL注入和XSS攻击。但还有其他方式可以损害我的网站吗?
不,这样做一点也不安全,XSS攻击可以通过图像标签执行。
一个简单的例子是:
<IMG SRC=jAvascript:alert('test2')>
http://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29
有一件事情你需要考虑——我可以给你提供一个大约200兆的“XUltra高清”图片链接。我猜这可能会影响你网站的加载体验(取决于设计)。 因此,除了“脚本攻击”之外,允许用户在你的网站中插入链接内容也是有问题的。
需要做的几件事情是验证它是一个被接受格式(通常为jpg、png和gif)的真实图像,并对文件名进行清理和更改。
您可以使用PHP getimagesize函数来检查它是否是有效的图片,以及它的格式。当文件上传时,您会收到所谓的MIME类型,但这对于验证是无用的。因此,以下内容应该有效,因为getimagesize函数还会验证图像并返回exif类型。
$image_info=getimagesize($tempname);
$allowed_types=array(IMAGETYPE_PNG,IMAGETYPE_JPEG,IMAGETYPE_GIF);//these are actually the integers 1, 2 and 3
if(in_array($image_info[2],$allowed_types)){
//image is a valid image. You can also check the height and width.
}
<img alt="Kobi's Photo" src="http://example.com/photo.jpg" />
看起来很无害,但实际上,每个访问者在您的网站上观看我的图片时都可以被跟踪和记录。每个访问者都会在我的服务器上获得一个会话,甚至可能会被分配一个 cookie(不是有趣的那种)。更糟糕的是,我可以跟踪每个显示我的照片的访问者的每个页面查看 - 浏览器通过 referer 标头发送每个显示照片的 URL。
让人们托管自己的照片,会泄露您访问者的一些隐私。
<img src="http://usmilitary/launchAllNukes?When=Now" />
或者:
<img src""<script>//Evil code</script>" height="123px" width="123px" />
在将图片插入数据库之前,使用ImageMagick来验证该图片是真实的图片,而不是其他类型的文件,那么您就应该没问题了。
<img src="http://hacker.ru/badtimes.php" />
<img src="javascript:alert(String.fromCharCode(88,83,83))" />
<img src="http://hacker.ru/badtimes.php" />,它会对我的网站造成什么影响? - good_evening<img src="http://yourbank.com/transfer?to=maliciousaccount&amount=100 />。 - Juanda
<img src="<?=htmlspecialchars($photo);?>" height="123px" width="123px">">。这个代码没有保护XSRF(跨站请求伪造)的安全问题,如果用户输入/logout.php作为图片URI很可能会造成问题。 - Frank Farmer