upload de imagenes con imagecopyresampled se puede Bypassing???

Hola que tal a todos, mi pregunta es simple si yo utilizo imagecopyresampled para crear una copia de la imagen subida por un usuario, podrian hacer Bypassing o subir una imagen con codigo malicioso.....

por que digamos que los utilizo de este modo, tomo la imagen subida desde

$_FILES['imagen']['tmp_name']

luego le aplico algunos filtros para determinar type y exif_imagetype para IMAGETYPE_XXX

si todo esta bien guardo la copia con imagecopyresampled
si guardo la copia elimino para liberar memoria

imagedestroy($gd111); y imagedestroy($gd111);
datos empleados en imagecreatefromstring
((tomo esto con una funcion para determinar si es jpg/png/gif )))


y elimino tambien la imagen subida

unlink($_FILES['imagen']['tmp_name']);

en teroria yo entiendo que si la imagen tenia una shell o algo asi ya no funcionara porque he subido a la carpeta de uploads una copia y la imagen original subida por el usuario, ha sido eliminada del temporal

esto es asi o si tenia una shell tambien se copia en la nueva imagen creada

espero alguna respuesta desde ya gracias a todos!!
saludos!!!

Pues si la imagen tiene algún código malicioso, al copiarla, debería también copìar el código aquel. Lo que podrías hacer, es renombrar la copia, agregarle una extensión cualquiera para que quede deshabilitada como imagen y no se pueda ejecutar. Claro que podría editarse y ejecutarse manualmente, pero no al intentar ver la imagen por tu web, ya que no sería reconocida como imagen.

Nos vemos.

Pues gracias por responder, mira yo cambio a la extension a png sea cual sea la imagen, tambien la renombro.... pero tendria que utilizar un codigo entonces para evitar mostrar la ruta de la imagen

pero como puede ser

saludos!

Disculpa por no haberte respondido antes.

¿Qué es lo que quieres hacer con la imagen, suponiendo que está tiene código malicioso?

Lo que podrías hacer, es crear un sistema de administración de imágenes subidas. Así manualmente podrás escanear todas las imágenes, y dependiendo del resultado de escaneo, ver si le das el permiso para que se vea en tu web.

Un ejemplo de la idea que te planteo :

IMAGEN ---- ACEPTADO ( si / no )
Imagen1 --- No
Imagen2 --- Si
Imagen3 --- Si
Imagen4 --- No

Así únicamente los usuarios verían las imágenes que tú has permitido que se vean.

Nos vemos.

bien lo que voy a hacer antes de analizar las imagenes voy hacer una copia yo mismo con un porgrama de edicion luego la guardo con el nombre que le he dado, asi estare seguro de todo...

el tema es que para hacer algo mas agil tengo que crear una carpeta para cada usuario, esto no es problema ya que lo hago automaticametne con php, pero el problema es que al crear una carpeta via web -->el propietario entonces es Apache por ende apache es el "propietario" (owner) y con esto no permitira que nadie meta nada dentro de la carpeta ya que no tendra permisos de escritura , yo desde mi panel puedo cambiar esto, el tema es que si un usuario se registra y quiere subir imagen debe hacerlo inmediatamente, no puedo hacerle esperar.... hasta que cambie manualmente el owner..... asi que ahora tengo el problemon!!!

habra alguna manera que cambiar esto con php o sea al crear la carpeta misma???

saludos y gracias por tu respuesta!!

Hola zerpico_01,

Si creas una carpeta con PHP, suponiendo que con la función mkdir(), te sugiero que en vez de ir al panel de administración, uses también la función chmod(), justo despues de la otra para cambiarle los permisos:

El primer parametro es la ruta hacia tu carpeta y el segundo el modo chmod que le aplicas, en este caso el máximo 777 (lectura, ejecución y escritura para todos los users)

Para mas info sobre chmod, visita aquí

Espero que te sirva,

Un saludo!