[PHP-users 7473] Re: img src=〜の値の受け渡しはできない?

KOYAMA Tetsuji php-users@php.gr.jp
Wed, 15 May 2002 19:31:20 +0900


  小山です。

At Wed, 15 May 2002 18:49:03 +0900,
S.Okazaki <okazaki@jp-hb.com> wrote:
> 例えば、画像の保存先が $path でjpeg画像だとすると
> 
> $path="/home/hoge/public_html/pic/$p1";
> $im=imagecreatefromjpeg($path);
> header("Content-type: image/jpeg");
> imagejpeg($im);

  なぜに JPEG 画像を再度 JPEG に変換しているのでしょう。
  単に readfile($path) で良いと思いますが。

  この手の事をする場合、$p1 の値をきちんとチェックしないとセキュリティ
ホールになるので注意しましょう。

# $p1 に '../../../../../../etc/passwd' なんて値を突っ込まれたらどう
# なるか分かるかと。

  $path = '/home/hoge/public_html/pic/' . basename($p1);
  // $path が存在するかどうかチェックしたほうが良い

  header('Content-Type: image/jpeg');
  readfile($path);

という感じ?

-- 
	小山 哲志@ビート・クラフト
	koyama@beatcraft.com
	koyama@hoge.org