Q&A
回答ありがとうございます。
参考にさせていただきます。
###前提・実現したいこと
現在タブレットとwebの連携を行うようなシステムの作成を行っています。
私は主にweb側を担当しており、PHP(CakePHP)を使用して作成しています。
そのシステムの中でタブレットからbase64エンコードされた画像を受け取って
サーバにて復元・保存する機能を実装する必要があり、調べています。
調べた結果、次のようなソースを見つけることができました。
php
1<?php 2if (touch('ファイルの名前')) { 3 $fp = fopen('ファイルの名前', 'w'); 4 fwrite($fp, base64_decode('ベース64ソース')); 5 fclose($fp); 6} 7?>
ただ、私の記憶では、fopenでファイルを開いたときに少々セキュリティに問題があったかと思っています。
とても不確かな記憶で、何が問題だったかも定かではありません。
そこで、質問なのですが
0. 上記のようなプログラムで画像ファイルの保存を行った場合、何か問題はありますでしょうか?
0. 問題がある場合、回避するためにはどうすればよろしいでしょうか?
どうか、ご回答をよろしくお願いします。
###補足情報(言語/FW/ツール等のバージョンなど)
PHP 5.6.12
CakePHP 2.7.7
回答3件
0
とりあえずコードを拝見して、気になった点を挙げますね。
・画像ファイルである保証はあるか?
・画像ファイルや、そのコメントなどに不正はないか?
・ファイルサイズが大きすぎることはないか?
などを考慮する必要があると思います。
画像ファイルかどうかは、きちんとバイナリを検査して、JPGやPNGといったファイルフォーマットに適合するかを検査しなければなりません。
画像ファイルのコメント等、不要な要素である場合は消去してしまった方が良いでしょう。
画像ファイルの形式変換、およびリサイズを強制的に行うと、攻撃耐性が強くなります。
アップロードするファイルサイズは、PHPの設定で上限を設けられます。
これらを自力で行うのはかなり大変ですので、ImageMagicなどを利用されたほうが良いと思います。
http://php.net/manual/ja/book.imagick.php
その他、CSRF攻撃や、アップロードボタン連続クリック等でドシドシ画像アップロードされる被害をうけないよう、二度押し防止策はしておく事が必要です。
ただし、セキュリティを考えるときに、「絶対にコレをやれば大丈夫!」という確証は世の中には
無いものだと考えておいてください。
上述の対策は、いずれも攻撃耐性を上げるためのものです。
ImageMagicも、セキュリティホールの存在が報告されることが多々あります。
その場合は、ImageMagicのバージョンアップなどを運用で行うようにしてください。
投稿2016/01/15 04:56
編集2016/01/15 04:59
総合スコア422
0
自己解決
さらに調べた結果、以下のようなコードに落ち着きました。
PHP
1if(touch('ファイルの名前'e)) { 2 if(($fput = file_put_contents('ファイルの名前', base64_decode('ベース64ソース'), LOCK_EX)) === false) { 3 throw new Exception('画像ファイルの作成に失敗しました'); 4 } 5}
皆様、回答ありがとうございました。
質問は閉めさせていただきますが、何か指摘等がありましたコメント、回答をお待ちしています。
投稿2016/01/27 02:29
総合スコア1698
0
http://qiita.com/mpyw/items/939964377766a54d4682
http://qiita.com/mpyw/items/117ab6a88fd58d911c34
などしっかりまとめられていていいなと思ったので紹介させていただきます。
あくまで参考レベルですが...
投稿2016/01/15 10:34
総合スコア123
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/01/15 05:21
2016/01/15 09:47