Загрузка изображения на сервер

DrFlor · 22.Апрель.2020 00:21:56

Можете подсказать универсальную и безопасную загрузку изображений на сервер php. И хотелось бы загружать jpg и png. И ещё если возможно уменьшать размеры без потери качества. К примеру загружают изображение 3000 на 3000, а его уменьшить 150 на 150.
Нашел такой вариант. Вот только не знаю на сколько он безопасен?


// Перезапишем переменные для удобства
$filePath  = $_FILES['pics']['tmp_name'];
$errorCode = $_FILES['pics']['error'];

// Проверим на ошибки
if ($errorCode !== UPLOAD_ERR_OK || !is_uploaded_file($filePath)) {

    // Массив с названиями ошибок
    $errorMessages = [
        UPLOAD_ERR_INI_SIZE   => 'Размер файла превысил значение upload_max_filesize в конфигурации PHP.',
        UPLOAD_ERR_FORM_SIZE  => 'Размер загружаемого файла превысил значение MAX_FILE_SIZE в HTML-форме.',
        UPLOAD_ERR_PARTIAL    => 'Загружаемый файл был получен только частично.',
        UPLOAD_ERR_NO_FILE    => 'Файл не был загружен.',
        UPLOAD_ERR_NO_TMP_DIR => 'Отсутствует временная папка.',
        UPLOAD_ERR_CANT_WRITE => 'Не удалось записать файл на диск.',
        UPLOAD_ERR_EXTENSION  => 'PHP-расширение остановило загрузку файла.',
    ];

    // Зададим неизвестную ошибку
    $unknownMessage = 'При загрузке файла произошла неизвестная ошибка.';

    // Если в массиве нет кода ошибки, скажем, что ошибка неизвестна
    $outputMessage = isset($errorMessages[$errorCode]) ? $errorMessages[$errorCode] : $unknownMessage;

    // Выведем название ошибки
    die($outputMessage);
}

// Создадим ресурс FileInfo
$fi = finfo_open(FILEINFO_MIME_TYPE);

// Получим MIME-тип
$mime = (string) finfo_file($fi, $filePath);

// Закроем ресурс
finfo_close($fi);

// Проверим ключевое слово image (image/jpeg, image/png и т. д.)
if (strpos($mime, 'image') === false) die('Можно загружать только изображения.');

// Результат функции запишем в переменную
$image = getimagesize($filePath);

// Зададим ограничения для картинок
$limitBytes  = 1024 * 1024 * 5;
$limitWidth  = 1280;
$limitHeight = 768;

// Проверим нужные параметры
if (filesize($filePath) > $limitBytes) die('Размер изображения не должен превышать 5 Мбайт.');
if ($image[1] > $limitHeight)          die('Высота изображения не должна превышать 768 точек.');
if ($image[0] > $limitWidth)           die('Ширина изображения не должна превышать 1280 точек.');

// Сгенерируем новое имя файла на основе MD5-хеша
$name = md5_file($filePath);

// Сгенерируем расширение файла на основе типа картинки
$extension = image_type_to_extension($image[2]);

// Сократим .jpeg до .jpg
$format = str_replace('jpeg', 'jpg', $extension);

// Переместим картинку с новым именем и расширением в папку /pics

if (move_uploaded_file($filePath,_DIR_ . '/pics/' . $name . $format)){
	$rusult_success["image"] = 'Изображение успешно загружено.';
} else {
	echo errorMessages[$errorCode];
}

MihalNik · 22.Апрель.2020 02:32:59

Так не бывает.

DrFlor · 22.Апрель.2020 03:47:42

Хорошо. А безопасная загрузка бывает?

Sergebl · 22.Апрель.2020 07:41:47

На мой взгляд - ваш пример вполне безопасен.
Ну, не помешает ещё перестраховаться и запретить выполнение скриптов в папке /pics/

как это сделать - информации полно. Ну, например, через .htaccess - пример
но, в связи с тем, что Ваш скрипт проверяет содержимое и меняет расширение на расширение картинки, то залить туда скрипт, на мой взгляд, и так будет невозможно.

AlexP · 22.Апрель.2020 08:54:59

Я бы поискал популярную библиотеку, например:

Для безопасности лучше не выдавать пользователям подробную информацию о каждой ошибке. Разве что про размер и формат.
Такое в лог для админа пишут (см. Monolog и т.п.), а не в

Много файлов в одной папке лучше не хранить, могут быть проблемы с производительностью.
Простой популярный способ решить это: разбивать хэш на несколько частей и использовать первые части для имен папок.
То есть будет что-то типа:

ab/cd/qwe.jpg
ab/df/asd.png
...

Для обработки/ресайза изображений тоже есть куча библиотек, или https://www.php.net/manual/en/imagick.resizeimage.php (возможно потребуется установить это расширение в РНР, в Линуксах это делается одной командой типа sudo apt-get install php-imagick).

Качество зависит от параметра filter, тут описано какие для чего подходят: http://www.imagemagick.org/Usage/filter

DrFlor · 22.Апрель.2020 12:59:54

Вопрос такой как именно запретить выполнение скриптов с помощью .htaccess при условии, что сам .htaccess лежит в главной директории сайта и хотелось бы запретить выполнение скриптов на папку и все папки которые лежат внутри?

Всю информацию я выдовать не собирался. они нужны для внутренней работы скрипта без вывода. Единственное на вывод это и будет информация о размерах и формате. Вот только как формат правильно проверить?

У меня загрузка изображений будет разбита по папкам. Какая папка будет использоваться для изображения определится в момент загрузки. К примеру решил загрузить аватар папка будет использоваться “/download/ava/” или же я загружаю логотип папка будет “/download/logo/” и тд.

Вчера прежде чем спать пойти нашел такую библиотеку classSimpleImage. Вот только как она хорошая или плохая я не знаю.

Всем за ссылки спасибо пошел просвещаться

LiAN · 22.Апрель.2020 14:11:53

Так а если .htaccess положить в защищаемую директорию?
Например как предлагают: здесь

AlexP · 22.Апрель.2020 14:32:38

Так если будет 10к юзеров, то будет 10к аватаров там )

Судя по имени что-то очень древнее и не осовремененное.

Сейчас все библиотеки через Composer подключаются.

https://phptherightway.com/#composer_and_packagist / http://getjump.github.io/ru-php-the-right-way/#composer_и_packagist

DrFlor · 22.Апрель.2020 15:39:19

Пример с аватаром и лого привел как пример. Загружать сможет только администраторы. Но не смотря на это хочу сделать всё же безопасную загрузку.

Я понял. Пойду смотреть что такое Composer и с чем его едят.
Ознакомился не много что такое Composer и так понимаю на сервак его надо устанавливать дополнительно. А если я со своего сервака переезжаю на хостинг мне нужно интересоваться нет ли у них этого Composer и если нет то просить его установить. Я правильно всё понимаю?

AlexP · 22.Апрель.2020 16:29:33

Это по сути просто скрипт, который запускается PHP, и он качает зависимости в папку vendor в проекте.
Так что можно ставить его не глобально, а просто положить в папку проекта.

DrFlor · 22.Апрель.2020 17:45:00

Вот решил выложить код classSimpleImage так сказать на Ваш суд

<?php
class SimpleImage {
   var $image;
   var $image_type;
   function load($filename) {
      $image_info = getimagesize($filename);
      $this->image_type = $image_info[2];
      if( $this->image_type == IMAGETYPE_JPEG ) {
         $this->image = imagecreatefromjpeg($filename);
      } elseif( $this->image_type == IMAGETYPE_GIF ) {
         $this->image = imagecreatefromgif($filename);
      } elseif( $this->image_type == IMAGETYPE_PNG ) {
         $this->image = imagecreatefrompng($filename);
      }
   }
   function save($filename, $image_type=IMAGETYPE_JPEG, $compression=65, $permissions=null) {
        // do this or they'll all go to jpeg
        $image_type=$this->image_type;
        if( $image_type == IMAGETYPE_JPEG ) {
            imagejpeg($this->image,$filename,$compression);
        } elseif( $image_type == IMAGETYPE_GIF ) {
            imagegif($this->image,$filename);
        } elseif( $image_type == IMAGETYPE_PNG ) {
            // need this for transparent png to work
            imagealphablending($this->image, false);
            imagesavealpha($this->image,true);
            imagepng($this->image,$filename);
        }
        if( $permissions != null) {
            chmod($filename,$permissions);}
   }
   function output($image_type=IMAGETYPE_JPEG) {
      if( $image_type == IMAGETYPE_JPEG ) {
         imagejpeg($this->image);
      } elseif( $image_type == IMAGETYPE_GIF ) {
         imagegif($this->image);
      } elseif( $image_type == IMAGETYPE_PNG ) {
         imagepng($this->image);
      }
   }
   function getWidth() {
      return imagesx($this->image);
   }
   function getHeight() {
      return imagesy($this->image);
   }
   function resizeToHeight($height) {
      $ratio = $height / $this->getHeight();
      $width = $this->getWidth() * $ratio;
      $this->resize($width,$height);
   }
   function resizeToWidth($width) {
      $ratio = $width / $this->getWidth();
      $height = $this->getheight() * $ratio;
      $this->resize($width,$height);
   }
   function scale($scale) {
      $width = $this->getWidth() * $scale/100;
      $height = $this->getheight() * $scale/100;
      $this->resize($width,$height);
   }
   function resize($width,$height,$forcesize='n') {
        /* optional. if file is smaller, do not resize. */
        if ($forcesize == 'n') {
            if ($width > $this->getWidth() && $height > $this->getHeight()){
                $width = $this->getWidth();
                $height = $this->getHeight();
            }
        }
        $new_image = imagecreatetruecolor($width, $height);
        /* Check if this image is PNG or GIF, then set if Transparent*/
        if(($this->image_type == IMAGETYPE_GIF) || ($this->image_type==IMAGETYPE_PNG)){
            imagealphablending($new_image, false);
            imagesavealpha($new_image,true);
            $transparent = imagecolorallocatealpha($new_image, 255, 255, 255, 127);
            imagefilledrectangle($new_image, 0, 0, $width, $height, $transparent);
        }
        imagecopyresampled($new_image, $this->image, 0, 0, 0, 0, $width, $height, $this->getWidth(), $this->getHeight());
        $this->image = $new_image;
    }
}
?>

AlexP · 22.Апрель.2020 22:46:06

Тут GD вместо ImageMagick, скорее всего качество будет хуже. Как минимум потому что нельзя выбрать способ ресайза (filter в IM), и вряд ли оно такое умное, что само выбирает ) скорее всего просто какой-то простой способ.
…а именно bilinear: https://github.com/Orc/libgd/blob/a68e81988a2a88e6a5e01bd62e1453dbfb44c4b2/src/gd.c#L3433
Есть способы лучше если волнует качество, например, для уменьшения вроде советуют Lanczos, Lagrange. http://www.imagemagick.org/Usage/filter/#summery

Ну и в коде много плохих вещей, кроме странного/неконсистентного стиля (https://ru.hexlet.io/blog/posts/naming-in-programming, https://ru.hexlet.io/blog/posts/naming-errors-1).

В стандартных сценариях использования РНР может это и норм, но вообще не стоит использовать имя файла в таких функциях, лучше что-нибудь типа массива байт.
Иначе если изображение есть просто в виде байтов в памяти и т.п. (и/или надо вернуть его в этом виде) будут лишние сложности.

Ну и можно было сделать класс более расширяемым (раз уж это библиотека), например, для вывода использовать какой-нибудь ImageOutputInterface вместо этих if прямо тут в save и output.

И чтобы не давать возможности иметь объект класса в неинициализированном/некорректном состоянии вместо load сделать конструктор или static методы возвращающие объект. (и кидать exception при ошибках)

В PHP (и JS) лучше использовать === везде, где можно, чтобы избежать сюрпризов. https://stackoverflow.com/a/80649/964478

Бред какой-то, передаем параметр в функцию, а она его сразу меняет.
Видимо тот, кто правил этот код, не разобрался в задумке автора

Непонятно зачем такие странные значения, есть же bool (true/false).

Я бы из всех подобных функций тут возвращал новый объект (SimpleImage), а не менял состояние текущего.
Иммутабельность рулит, чего б не использовать её когда можно )

Это не нужно писать, только при выводе HTML, но это должны быть отдельные файлы с шаблонами, а не смешивать всё в кучу.
?> в файлах с обычным кодом может вызвать проблемы, потому что после него может быть например пробел/перевод строки и это будет считаться выводом.
http://phpfaq.ru/newbie/headers
https://stackoverflow.com/a/8028987/964478