[PHP-users 18045]Re: 複数ファイルの一括アップロード(was

[Osamu Shigematsu]

重松です。こんにちは。

> やはり、いろいろ調査した結果exec, systemを利用する方法が簡単なようです
> ね。
> （上記方法:外部コマンドの利用  はセキュリティなどの問題があるのでは？）

場合によっては、safe mode を活用すると危険性は軽減できると思います。

ただ、今回は、アップロードされたファイルを展開するだけなので、私には攻撃
方法自体が思いつきません。

あるとすれば、やたらでかいファイルを送りつける、Zip でないものだとか、不
正なデータのアップロード (攻撃者が実行するためのスクリプト)、などでしょ
うが、これに関しては、アップロードを受け付ける自体で発生するのではないか
と思います。

画像 (JPEG) のみを受け付ける決まっているのならば、ファイル拡張子の確認や、
データそのものの確認 (自前で JPEG のヘッダを確認したりする) をすることで、
リスクを回避できるのではと思います。

個人的には、JPEG を利用する際には、IJG JPEG ライブラリに入っているロスレ
ス変換のサンプルを改造して、いらないヘッダを削ったり、Huffman 表を最適化
したりして、画質を損なうことなくファイルをサイズを圧縮していますが、この
ステップは、画像が JPEG (JFIF) であることの確認もできるので、お勧めかも
しれません。
# これを PECL 化すれば、ネットのトラフィックがかなり節約されそう??

-- 
Osamu Shigematsu <m5issige ＠ mr.hitachi-medical.co.jp>