如何使用PHP正确保护图片上传？

好的,所以我已经看到了很多有关如何保护图像上传表单的讨论,但是没有人告诉我,该怎么做才能100％阻止恶意代码通过我的应用程序上传.

我目前正在考虑重新创建图像,因为我看到这将是一种非常安全的方法.可以？还有什么其他选择？这些方法还优选哪些扩展名？

解决方法:

I’m currently thinking about image re-creation, as I saw that it
would be quite a secure method.

除非您用于重新创建的库不易受攻击：P.但是,认真的说,我认为这不是一个坏主意,在大多数情况下,它可以改善安全性.

为了提高安全性,您还可以使用Fileinfo functions(早期版本的PHP中的mime_content_type())检测内容类型.

关于较旧的Mimetype扩展的摘录形式的PHP手册,现已由Fileinfo代替：

The functions in this module try to guess the content type and
encoding of a file by looking for certain magic byte sequences at
specific positions within the file. While this is not a bullet proof
approach the heuristics used do a very good job.

至于问题,哪种PHP扩展最适合用于安全图像重新创建…我已经检查了CVE details网站.我认为适用的三重奏是那些扩展：

> GD(6个漏洞)
> ImageMagick(44个漏洞)
> Gmagick(12个漏洞)

通过比较,我认为GD最适合,因为它的安全性问题数量最少,而且它们已经很老了.其中三个非常关键,但是ImagMagick和Gmagick的性能却没有任何提高…ImageMagick似乎非常容易出错(至少在安全性方面),因此我选择Gmagick作为第二个选项.

标签：image,security,image-processing,php,image-uploading
来源： https://codeday.me/bug/20191122/2057029.html