Weil es immer wieder Probleme gab, wenn lib_getid3 nicht installiert ist, wurde das Modul in den Core übernommen. Ab Version 1.0.3 wird es also automatisch mit installiert.
Wozu ist es gut?
Sämtliche in PHP verfügbare Standardmethoden zur Feststellung des Dateityps - Text, Bild, Binary etc. - arbeiten nur mit der Dateiendung. Will ich also beispielsweise ein JavaScript hochladen, obwohl die Endung .js nicht erlaubt ist, muß ich es nur in .zip umbenennen, schon scheitert die Prüfung. In WB und Lepton beispielsweise kann man so die Prüfung auf erlaubte Dateitypen austricksen.
getID3 ist eine Bibliothek, die eigentlich dem Auslesen der ID3-Tags aus Mediendateien dient. Hierzu wird der Dateiheader der Datei ausgewertet. Auf diese Weise läßt sich sehr viel genauer ermitteln, um welchen Typ es sich handelt - die Dateiendung ist dabei uninteressant.
Lücken
Auch bei dieser deutlich besseren Methode zur Erkennung des Dateityps bleiben noch Lücken. So ist eine PHP-Datei genauso eine Textdatei wie ein Javascript oder eine readme.txt. Hier läßt sich also nicht mit Sicherheit sagen, ob die Datei wirklich das ist, was sie zu sein vorgibt. Selbst eine Analyse des Inhaltes ist nicht zuverlässig, da beispielsweise eine HTML-Datei auch JavaScript beinhalten kann.
Grundsätzlich sollte daher der Zugriff auf den media-Bereich nur vertrauenswürdigen Benutzern erlaubt werden. Auch ist es empfehlenswert, zusätzliche Schutzmaßnahmen zu ergreifen. Die Provider haben beispielsweise in der Regel recht brauchbare Virenscanner, und ein gelegentlicher Blick auf den media-Ordner sollte auch zur Gewohnheit werden.
lib_getid3 ist jetzt Teil des Core
lib_getid3 ist jetzt Teil des Core
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is