Hallo,
ich habe einen Image Hoster und nun bemerke ich langsam wie Leute versuchen MP3s hochzuladen oder gar Bilder mit verstecktem Inhalt, im Sinne von :

Dateiname.MP3 -> Dateiname.PNG (zum bleistift)

oder in die GIF-Datei in die erste zeile <? phpinfo(); ?> reinschreiben.

Ich habe bei meinem Uploadformular eigentlich eine Abfrage auf MIME-Typen gemacht. Anscheinend heisst das nur dass die Dateiendung abgefragt wird und nicht ob der Inhalt auch wirklich dem MIME-Type entspricht? Also ob Dateiname.jpeg auch wirklich ein jpeg file ist? Oder nicht?

Wie kann man denn kontrollieren ob jemand fake-dateien mit falschen endungen hochladen will und solche dann abfangen?

Liebe Grüße

Hallo,

du kannst folgendermaßen vorgehen:

Du fragst mit getimagesize die hochgeladene Datei ab. Wenn getimagesize FALSE zurückliefert, hast du schon mal Gewissheit, das es sich anscheinend nicht um ein Bild handelt. Ebenfalls kannst du den Mimetype prüfen, der im assoziativen Array als 'mime' zurück gegeben wird und hier auch noch mal Checks einbauen.

Grüße

Hey,

genial. Ich glaube es funktioniert!

Vielen lieben Dank

Fein, dann kannst du das Thema ja als erledigt markieren