Segurança em Upload

[tony_lu 1]

Ola pessoal,

 

preciso de uma programação segura para envio de imagens para o site, pois se trata de um sistema aberto no site que os visitantes podem realizar upload de fotos.

 

Como fazer para proteger do usuario por exemplo mandar um .exe para o servidor? Vi que tem um recurso que verifica se o mime-type do arquivo é de imagem, porem fiz o teste renomeando um .exe para jpg e a programação permitiu o upload, podem me ajudar a corrigir o problema?

 

Segue a parte do script que faz a verificação:

 

// Verifica se o mime-type do arquivo é de imagem

if(!eregi("^image\/(pjpeg|jpeg|png|gif|bmp)$", $arquivo["type"])) { 
           $erro[] = "Arquivo em formato inválido! A imagem deve ser jpg, jpeg, bmp, gif ou png. Envie outro arquivo"; 
}

Obrigado!

 

[Beraldo 864]

alterar a extensão não muda o mime-type. Você deve ter enviado o arquivo errado

 

eregi() está obsoleta. Use preg_match, assim:

 

 

if ( ! preg_match( "/^image\/(pjpeg|jpeg|png|gif|bmp)$/i", $arquivo["type"] ) )