Что лучше проверять mime тип файла или его расширение или все вместе?

Question

KuzmenkoArtem @KuzmenkoArtem

Программирование

Что лучше проверять mime тип файла или его расширение или все вместе?

Есть форма загрузки файла, хочу сделать валидацию, что файл является определенного типа, что бы с ним дальше работать.
Что лучше проверять mime или расширение или все вместе?
Интуитивно понятно что лучше, но все же хочу узнать ваше мнения.
Спасибо!

Вопрос задан более трёх лет назад
180 просмотров

Комментировать

Подписаться 2 Простой Комментировать

Решения вопроса 2

Комментировать

11 комментариев

Adamos @Adamos

Почти всегда лучше проверять расширение

С хрена ли? Расширение вообще ничего не гарантирует, и проверка по нему легко создает ситуацию, когда
у вас проблемы с безопасность

Написано более трёх лет назад
Griboks @Griboks

Adamos, а если нам не требуется ничего гарантировать? Если мы, например, просто хотим правильно указать MIME или отсортировать.

Написано более трёх лет назад
Adamos @Adamos

Griboks, нет, если вы хотите сразу послать на хрен все, кроме jpg и png, и следующим номером у вас идет проверка их содержимого - да, можно для начала и расширение проверить. Вот только jpg, jpeg и JPG - это три разных (и при этом валидных) расширения, хлопотно... и при этом таки ничего не гарантирует.

Написано более трёх лет назад
Griboks @Griboks

Adamos, омг. Что за ерунду вы пишите? Вы в своём уме? Фотоальбому нужна проверка формата фото? Да наплевать на все проверки. Пользователь загрузил неправильный форма - он просто не увидит фотографию и всё. Его проблемы. Никакая проверка тут не нужна. Максимум, как в ВКонтакте по расширению.

Написано более трёх лет назад
Adamos @Adamos

Griboks, ага, а если пользователь загрузил "правильный форма" - значит, все хорошо.
А то, что пользователь загрузил в файле с расширением JPG не картинку, а, например, PostScript-файл, который при попытке сервера изменить размер этой картинки успешно откроется, но заодно выполнит вредоносный код - это так, приятный бонус. Никакая проверка тут не нужна, все хорошо, ботнетам тоже надо кем-то кормиться.
Пруф: https://www.opennet.ru/opennews/art.shtml?num=50370

Написано более трёх лет назад
Griboks @Griboks

Adamos, читать умеете?
если вдруг у вас проблемы с безопасностью..., то лучше проверять

Написано более трёх лет назад
Adamos @Adamos

Griboks, я и думать умею. Сайтов, у которых нет никаких проблем с безопасностью данных, присылаемых пользователями, в природе не существует.

Написано более трёх лет назад
Griboks @Griboks

Adamos, смею вас заверить, что сайт - это ничто иное, как совокупность ответов от сервера. И навредить эти ответы могут только самому пользователю. Всё остальное зависит от сервера, и не думаю, что любой сервер с радостью запускает любой файл, полученный из любого источника.

Написано более трёх лет назад
Adamos @Adamos

Griboks, сайт - это нечто большее, чем ответы от сервера. Это еще и работа скриптов на самом сервере. Которые каким-то образом обрабатывают полученную информацию. Например, стандартными библиотеками, в которых есть известные уязвимости (пруф выше).
Эпоха "подоконных" вирусов, которые необходимо было запустить для заражения, уже практически закончилась.

Написано более трёх лет назад
Griboks @Griboks

Adamos, существуют сервера, которые даже теоретически не могут выполнить загруженный файл.

Написано более трёх лет назад
Adamos @Adamos

Griboks, обязательно отолью это золотом в граните, но не сейчас.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

4 комментария

KuzmenkoArtem @KuzmenkoArtem Автор вопроса

В принципе не точно, но мне главное что бы не было вреда системе, если пользователь что-то нашаманит там, это его проблема

Написано более трёх лет назад
d-stream @d-stream

KuzmenkoArtem, просто понятие расширения как признак типа файла - это только у win в наследство от dos
Более другие системы - ориентируются на содержимое.
Соответственно файл photo (без расширения) окажется вполне-таки файлом фотографии например с мака. И мало того, если пользователь его сохранил на флешку и аплоадид из-под винды - mime окажется совсем не image/jpeg

Но вот чтение нескольких байт из начала файла, где встретится "яШяа" - ответит на вопрос что это jpeg, a "GIF89a" - что gif

Написано более трёх лет назад
KuzmenkoArtem @KuzmenkoArtem Автор вопроса

d-stream, Ну я с jpeg не собираюсь работать, у меня txt, csv, xml, json - оно все может оказаться text/plain
Получается что если в тексте есть запятые или угловые стрелочки это еще не признак того что это csv или xml

Написано более трёх лет назад
d-stream @d-stream

KuzmenkoArtem, для таких файлов тем более расширение будет неактуальным, а с учетом кодировок и text/plain - не факт...

Так что из первичного для xml - еще более-менее по контенту можно однозначно понять, ну и json - подобным образом... ну а txt|csv - тут разве что парсить и если вдруг процент ошибок не превышает порога - считать что "да, это оно и было"

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Программирование

Простой
Как и на чем написать скрипт для клика мышкой?
- 1 подписчик
- 3 часа назад
- 65 просмотров
2

ответа
JavaScript

+4 ещё

Простой
Что делать, если после залива приложения на VPS страница остается недоступной?
- 1 подписчик
- 15 апр.
- 100 просмотров
2

ответа
Android

+3 ещё

Простой
Нужно опенсорс приложение для Андройд для ESP32 painless mash?
- 1 подписчик
- 10 апр.
- 90 просмотров
0

ответов
Python

+1 ещё

Простой
Системы для анализа эмоций в видео и автоматической генерации текстовых реакций. Существует ли такое?
- 1 подписчик
- 10 апр.
- 99 просмотров
2

ответа
Программирование

+2 ещё

Простой
Альтернативы SourceTrail?
- 3 подписчика
- 28 мар.
- 232 просмотра
1

ответ
Windows

+3 ещё

Простой
Есть в Windows API для задания тега Write Combining для моей области памяти?
- нет подписчиков
- 25 мар.
- 81 просмотр
2

ответа
Программирование

Простой
Как сделать на сайте автоматическое открытие другого сайта?
- 1 подписчик
- 24 мар.
- 155 просмотров
1

ответ
Программирование

Простой
Hc-05 подключение питания?
- 1 подписчик
- 13 мар.
- 59 просмотров
0

ответов
Программирование

Простой
Hc 05 блютуз модуль?
- 1 подписчик
- 05 мар.
- 75 просмотров
2

ответа
Программирование

+3 ещё

Простой
Как выявлять показатели (логи, метрику, дейтсвия пользователя) в приложении?
- 1 подписчик
- 01 мар.
- 129 просмотров
1

ответ
Показать ещё Загружается…

Python developer

Bell Integrator

До 350 000 ₽

Разработчик программного обеспечения авионики

Котлин-Новатор • Санкт-Петербург

от 50 000 до 150 000 ₽

Ведущий разработчик программного обеспечения авионики

Котлин-Новатор

от 150 000 до 250 000 ₽

Кастомизация стандартного функционала Битрикс24

25 апр. 2024, в 11:33

7000 руб./за проект

Обновить C# приложения с net4 до net8. Платформа для трейдинга

25 апр. 2024, в 11:33

2500000 руб./за проект

Монтаж ролика для инстаграм

25 апр. 2024, в 11:26

500 руб./за проект

Answer 1 · 2019-08-07 21:28:11

Так как нельзя доверять любому вводу от пользователя, то по хорошему надо бы проверить не расширение и не mime (которые могут прийти любые), а собственно содержимое файла. Например - если вы ожидаете изображение jpeg - убедиться что у него есть соответствующие заголовки.

Answer 2 · 2019-08-07 18:55:39

Почти всегда лучше проверять расширение, но если вдруг у вас проблемы с безопасность или самописный сервер/загрузчик/обработчик, то лучше проверять все вместе (через ленивую логику).

Answer 3 · 2019-08-08 09:01:22

d-stream @d-stream

Готовые решения - не подаю, но...

А точно, что файл с jpeg изображением будет храниться например у пользователя mac в файловой системе как xxx.jpg ?

Ответ написан более трёх лет назад

4 комментария

Что лучше проверять mime тип файла или его расширение или все вместе?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт