Frage zu kommenden Problemen bei erlaubnis Bilder hochladen

Hallo, was für gefahren bestehen wenn man für User ein Script reinbaut um zu verlinken von Bildern, kann es da passieren das er im Bild mein MySQL Passwort anzeigt?

öhm wie meinst du das mit verlinken von bildern sie dürfen welche von deinem space verlinken oder von anderen spaces auf deine? O.o und nichts ist sicher, aber gut geschützt sollten die user bzw sollte man eh nicht ans DB passwort kommen außer man gibt das im script zugfällig mit echo oder so aus (solche leuten gehören gebannt :unamused: )

Generell besteht bei jedem Skript, welches Nutzereingaben
auswertet oder auswerten kann, die Gefahr, daß ein Angreifer
PHP-Quelltext einschleust, der interpretiert wird und dann nicht
nur unverschlüsselt herumliegende Paßwörter ausspionieren
kann, sondern den ganzen account schreddern.

Soweit ich das aber hier verstanden habe (was nicht einfach
aufgrund der Forumlierung ist), folgt aus dem Abspeichern
von Nutzereingaben nicht zwangsläufig, daß dieses auch
sicherheitstechnisch bedenklich sein muß, solange das eben
nicht ausgeführt wird.

Verweise auf Bilder oder noch mehr das Einbetten fremder
Bilder in eine eigene Seite kann aber zu Problemen führen, weil
dies meist nicht gerne gesehen wird und auch als urheberrechtlich
bedenkliche Neuveröffentlichung mißverstanden werden könnte.
Das könnte mehr Ärger geben als ein ausspioniertes Paßwort ;o)

Aber kann es nicht sein das jemand ein PHP-Bild erstellt und damit dann die Daten aus der DB ausgeben will, oder geht das mit solchen Bildern überhaupt nicht?!

Wenn du Bilder per PHP parsen lässt oder deinen Usern erlaubst, PHP-Dateien hochzuladen, wäre das möglich. Per .htaccess kannst du PHP auch für einzelne Verzeichnisse deaktivieren:php_flag engine Off
Dann musst du nur aufpassen, dass User auch keine .htaccess-Datei hochladen können. :wink:

einfach nur bild dateien hochladen lassen :stuck_out_tongue_winking_eye:

getimagesize($path_zur_tmp_file) or die(‘Nanana, da will doch wohl einer eine unerlaubte datei Hochladen’);

oder willst du den usern erlauben php scripte hochladen zulassen die nur die gd library benutzen um dynamische bilder erstllen lassen zu können?

und das jetzt soger noch von mir in eine Unnötige funktion gepackt gg

function is_image($image, $error_meldung = “Dies ist kein Valides JPG, GIF oder PNG Bild!”, $die = false)
{
if($muh = @getimagesize($image))
return true;
else
return $error_meldung;
if($die && !$muh)
exit; // ist ja eh das selbe wie die ^^
}

KeineAhnung - laut PHP-Handbuch kann getimagesize nur
JPEG, PNG, GIF oder SWF, gibt aber deutlich mehr Bildformate,
die völlig problemfrei sind und auch genutzt werden könnten.
Das wichtigste Format ist da wohl das Standardformat SVG.

Ob etwas durch den PHP-parser läuft, hängt an der Dateiendung
und an den Voreinstellungen des servers. Wenn da etwa
drinstände, daß Dateien mit der Endung ‘.gif’ geparst werden
sollen, so wird das der parser versuchen (was beim Aufbau einer
GIF-Datei nicht mal ein komplett blödsinniges Ansinnen ist).
In der Regel wird das aber nicht in den Voreinstellungen des
servers stehen…

Guten Abend,

die Frage ist ansich schon seltsam. Ein Bild kann keine dynamischen Daten anzeigen, es sei denn du lässt Scripte zu, die ein Bild generieren, welche aber kein Bild sind.
Also prüfst du beim Upload nur den MimeType der Datei, wenns ein Bild ist, dann gut, wenn nicht, weg damit. Fertig.

Selbst wenn du Scripte erlauben willst die Bilder generieren können, besteht prinzipiell kein Problem. Der MySQL Server spuckt generell von sich aus keine Passwörter aus. Solange du dein MySQL Passwort in keiner globalen Variablen hast, auf die jeder zugreifen kann, stellt das kein Problem dar. Wobei ich davon sowieso abrate, bastel dir lieber eine Klasse, in der die MySQL Daten generell nur lokale Variablen sind und du dann einfach nur auf die globalen Funktionen der Klasse zugreifen kannst. Dann könnten auch alle anderen maximal darauf zugreifen, was allerdings wieder ein Sicherheitsrisiko darstellt.

Schränk das ganze einfach auf Bilder ein und dann hast du auch kein Problem was irgendwelche Daten angeht. Dynamisch generierte Bilder haben mmn in einem PicHost eh nix verloren.

Ansonsten, schau dir halt jedes Bild an, und schalte es dann für die Öffentlichkeit frei. Dann gehst definitiv auf Nummer Sicher.

Greez

[quote=“hoffmann”]KeineAhnung - laut PHP-Handbuch kann getimagesize nur
JPEG, PNG, GIF oder SWF, gibt aber deutlich mehr Bildformate,
die völlig problemfrei sind und auch genutzt werden könnten.
Das wichtigste Format ist da wohl das Standardformat SVG.

Ob etwas durch den PHP-parser läuft, hängt an der Dateiendung
und an den Voreinstellungen des servers. Wenn da etwa
drinstände, daß Dateien mit der Endung ‘.gif’ geparst werden
sollen, so wird das der parser versuchen (was beim Aufbau einer
GIF-Datei nicht mal ein komplett blödsinniges Ansinnen ist).
In der Regel wird das aber nicht in den Voreinstellungen des
servers stehen…[/quote]

ja ok da haste recht, aber man weiß ja, svg das meißtgenutzte bildformat, kann in jedem forum problemlos in beiträgen eingebunden werden und user nehmen es immer süf ihre sigs/avas :stuck_out_tongue: