1
我在http://www.codeforest.net/html5-image-upload-resize-and-crop中的代码如下,在客户端调整大小后,使用file_put_contents($file, $data);保存。上传base64_decode图片通过文件把内容安全吗?
if ($_POST) {
define('UPLOAD_DIR', 'uploads/');
$img = $_POST['image'];
$img = str_replace('data:image/jpeg;base64,', '', $img);
$img = str_replace(' ', '+', $img);
$data = base64_decode($img);
$file = UPLOAD_DIR . uniqid() . '.jpg';
$success = file_put_contents($file, $data);
print $success ? $file : 'Unable to save the file.';
}
但是我唐诺这个功能实际上是如何工作的,正是我担心的是 - 如果用户改变了隐藏的输入字段和伪造的PHP代码看起来像图像,或用户不改变隐藏的输入字段与另一个图像大小不同,防止这种情况发生的最佳做法是什么?
最佳实践:不要使用表单域来处理不希望用户篡改的数据。使用会话变量。 – Barmar
它是通过客户端大小调整大小,如何使用会话数据? – Anonymous
我假设隐藏的字段是由另一个PHP脚本创建的。如果您必须获取客户端创建的数据,那么您需要验证它。将图像写入文件后使用'getimagesize'。 – Barmar