سلام به دوستان

یک صفحه ای در سایت خودم گذاشتم که هر کدام از اعضا می توانند یک فایل
jpg
را آپلود کنند و به این ترتیب در سایت ما دارای
AVATAR
یا عکس کوچک خود شوند.

نکته ای که مهم است این است که اگر یک
بدخواه و بداندیش بجای فایل jpg برای من فایلی حاوی کدهای مخرب از نوع asp یا جاوا xss و غیره را upload کند آن وقت ممکن است که سایت ما را هک کند.

راه عملی مقابله با این مشکل به چه صورت است.

آیا می توانم متن و کداسکی داخل یک فایل jpg را خودم scan کنم و اگر یک jpg واقعی بود آنگاه آنرا در داخل سرور ذخیره کنم؟

نکته ای با ید اشاره کنم این است که عکس داخل یک فولدر در داخل سرور ذخیره می شود و این یعنی، فقط نام و آدرس عکس داخل دیتا بیس ذخیره می شود.

آیا اصولا خطری از این بابت مرا تهدید می کند؟
یا نگرانی من بی مورد است.

خیلی متشکرام

درود،

خطر شما رو تهدید میکنه. یک راه ساده اینه که فقط فایل هایی که فرمت jpeg یا gif هستند رو آپلود کنید. توصیه میکنم این امر سمت سرور چک بشه نه کاربر.

راهی هم که خودتون پیشنهاد کردید قابل اجراست.

پاینده باشید.

با تشکر از شما

بله حق باشماست و من هم همه تلاشم را برای سمت سرور است.

من تنها کار کی بلدم چک کردن نام فایل و پسوند avatar ارسالی در قسمت سرور است. که حتما jpg باشه یعنی کافیه؟

ولی سوادم برای اسکن کردن کد اسکی یا باینری data هایی که داره آپلود می شه کافی نیست - اینکه اصولا این نوع فایلهای در داخل خود از چه فرمت ی استفاده می کنند . و اینکه آیا قسمت از این فایل واقعا ویروس داره یا نه ؟ - اگر همچین scan ی را بنویسم احتمالا خیلی از قدرت CPu سرور کم می شه. تازه اگر بلد باشم - خوب این خودش می شه یک آنتی ویروس که.
نظر شما چیه؟

مرسی از وقت گرانبهایتان

درود بر شما،

همین کار کفایت میکنه. برای یک عکس اینهمه تدابیر امنیتی لازم نیست.

اگر بالفرض فایلی با محتوای مخرب و با پسوند JPEG در سایت شما قرار بگیره، وقتی هکر توانایی حمله رو پیدا میکنه که بتونه از طریق آدرس اینترنتی به فایل دسترسی داشته باشه. اما این فایل وقتی فرمت jpeg داشته باشه، عملا خنثی محسوب میشه.

پاینده باشید.