Hallo,
Ich höhre in letzter Zeit immer wieder mal was davon, das PHP-Signaturen unsicher sind. Soweit ich weiß wurde dadurch mal ein vBulletin Borad gehackt.
Jetzt meine Frage, wo sind diese Sicherheitskücken? Es würde ja nichts bringen, in meine Forum Bilder mit der endung .php zu verbieten, weil es ja immer möglich sit sie einzubinden. (z.B. ModRewrite).
Wie kan ich jetzt dagegen forgehen? Und was für Gefahren bilden die Bilder?

Sturm

Ich würde (wenn bei einem Forum die Signatur hochgeladen werden muss) dieses kleine Script mit einbauen:

PHP-Code:

$accepted_exts = array('jpg','jpeg','png','gif');

$exts = explode(".", basename($user['sig_img']));
$file_extension = strtolower($exts[sizeof($exts)-1]);
if (!in_array($file_extension, $accepted_exts))
{
   echo 'Such files are not allowed!';
} 


Ich hoffe, es hat dir geholfen.
Gruß Hallasas

Dieses Skript würde nicht verhindern, dass mit mod_rewrite ein Bild "gefaked" wird.

Ich würde eher mit getimagesize() das Bild prüfen.

Das Wort "einbinden" irritiert mich etwas.
Ist damit das einbinden von Bildern im Sinne von
[ IMG ]http://wwww.eineganzentferntequelle.de/bild.jpg[ /img ]
gemeint oder das prüfen beim hochladen von Bildern auf den Server wo auch das Forum gehostet wird und nur "lokale" Bilder einzufügen?

Ich weiss zwar gar nicht ob der erste Teil des Satzes funktioniert, aber ich dacht mal, frag ma nach...

Ich meine damit ds "einbinden" in die Seite, z. B. in die Signatur. (Oder Userpages...)
also quasi mit [ IMG ]http://wwww.eineganzentferntequelle.de/bild.jpg[ /img ]