Q&A
ファイルのバイナリデータから画像形式を検出する何かがあるのかと思いましたが、
単に文字列(ファイル名)のチェックを行ってるんですね
前提・実現したいこと
だれでもできるファイルアップロードで、
.webpを許可することに何か危険性は生まれますでしょうか?
回答2件
0
ベストアンサー
拡張子.webpに対して、Content-Type: image/webpが設定される必要があります。もしこれがないと画像として表示されないので大丈夫だとは思いますが、仮に設定がない場合は、中身がHTMLのファイルを.webpでアップロードされるとクロスサイトスクリプティング脆弱性になります。
それ以外では、.webp固有の問題はないと思います。
しかし、webpを許可するか否かに関わらず、誰もがファイルをアップロードできること自体がかなり危険です。詳しくは下記の本(拙著)などで勉強してください。
投稿2021/01/05 03:58
総合スコア11701
0
拡張子は結局は単なる文字列でしかないとも言えるので、そういう名称で実行ファイル(exeなど)がアップロードされれば、あとはそのアップロードされた実行ファイルに好き放題される可能性はあります。
なので、バリデーションや例外処理を用いて、意図せぬファイルのアップロードを防ぎます。
記事としては少し前のものですが、考え方はおさえておくべきものです↓
ファイルアップロードの例外処理はこれぐらいしないと気が済まない
投稿2021/01/05 01:50
総合スコア80861
コードや説明をよく読んでください。
mime_content_type()でファイルの情報を取得したりしています。
私は質問内容から「質問者は何も知らない(調べてない)前提」で回答しました。今日登録されたユーザーでこれが初めての質問。情報が全くないのです。
バイナリデータなど含めて知っていることがあるのなら、予め書いておいてください。書いてあることしか伝わらないので。
何かを知っていたり調べていたり試していたり、しているかしないかでアドバイスの方向性や角度が全く違ってきます。
見落としてました、申し訳ありません
私は何も知りません
私の聞きたかった内容は「webpファイル自体の危険性について」だったので
言葉足らずで申し訳ありません
「バイナリデータ」という言葉が出た時点で何も知らないとは思えませんが、いずれにしても「PHP」は直接関係ないですね。
「セキュリティー」のタグをつけたほうが良いでしょう。
質問は編集できます。今からでも「やりたいこと」以外にも「質問前に調べたこと」「試したこと」を追記して精査すると、もっと良い回答がつくかもしれません。
頻度はともかく、私が提示した記事の作者やそこでコメントしている方の中にもteratailユーザーはいます。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。