画像アップロード時のファイル名を、ハッシュ値に書きかえている実装をよく見るのですが、あれって別にハッシュじゃなくても良いのでしょうか?
・例えば、下記URLにアップロードする際、画像ファイル名を(容易に推測されやすい)256.jpgに書き変えると、セキュリティ的にマズいのでしょうか?
<URL例>
・http://〇〇/256.php
■分からない点
・「ブラウザから渡されたファイル名は汚染リスクがある」と書いてあったのですが、この意味は、「ブラウザから渡されたファイル名をそのまま使用してはいけない」ということだけでしょうか?
・書きかえるファイル名は何でも良い?
・上記のように、推測されやすいファイル名でも問題ない?
■質問背景
・ファイル名をハッシュ値に書き換えると、FTPとかで確認する際やりづらいかなと思い、質問しました
No.1ベストアンサー
- 回答日時:
>「ブラウザから渡されたファイル名は汚染リスクがある」と書いてあったのですが、
>この意味は、「ブラウザから渡されたファイル名をそのまま使用してはいけない」
>ということだけでしょうか?
はい。
>書きかえるファイル名は何でも良い?
はい。重複さえしなければいいです。データの(バイナリの)ハッシュ値を使えば「中身が同じ画像なら同じファイル名」になるので無駄がなくなる(ことが期待できる)というのはありますが、二次的な話です。バイナリでなくmicrotime()やアップロードユーザ名+追番などのハッシュ値を使うこともありますしね。
>上記のように、推測されやすいファイル名でも問題ない?
問題ないです。隠すことが主目的ではありませんので。
本当に隠蔽したいなら、httpでアクセスできない場所(DocumentRootより上の階層とか、.htaccessでアクセス不能にしたディレクトリ)に置いて、phpスクリプト経由でしかアクセスできなくします。httpでアクセス可能な場所に置くのであれば、アクセスされることは想定すべきです。
回答ありがとうございました。
>データの(バイナリの)ハッシュ値を使えば「中身が同じ画像なら同じファイル名」になるので無駄がなくなる(ことが期待できる)というのはありますが、二次的な話
・なるほど、そういう意味なんですね
・説明、大変分かりやすかったですー
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP $filePath = './user_img/' . $file['name'];? 1 2022/12/10 07:29
- PHP どうして送信されないのでしょうか? 1 2022/12/09 05:23
- PHP 画像ファイルの名前をそのままURLにする 3 2022/10/16 11:18
- その他(IT・Webサービス) WPからダウンロードしたファイル名を指定したい 2 2022/04/08 08:31
- Excel(エクセル) エクセル、画像ファイル名の書かれたセル(複数個所)に画像を一括で表示させる方法 1 2023/04/19 00:19
- YouTube ユーチューブへの動画投稿にサムネイルを付ける方法は? 1 2022/07/21 23:45
- MySQL PHP 画像のアップロード Qiita 2 2022/11/28 04:44
- Excel(エクセル) エクセルのマクロについて教えてください。 1 2023/02/21 09:28
- その他(プログラミング・Web制作) セレクトボックスで選択された値をコントローラーで使用したい 2 2022/07/26 16:41
- その他(クラウドサービス・オンラインストレージ) firestorage_androidスマホでダウンロードできない 1 2022/10/25 08:18
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・【大喜利】【投稿~11/12】 急に朝起こしてきた母親に言われた一言とは?
- ・好きな和訳タイトルを教えてください
- ・うちのカレーにはこれが入ってる!って食材ありますか?
- ・好きな「お肉」は?
- ・あなたは何にトキメキますか?
- ・おすすめのモーニング・朝食メニューを教えて!
- ・「覚え間違い」を教えてください!
- ・とっておきの手土産を教えて
- ・「平成」を感じるもの
- ・秘密基地、どこに作った?
- ・【お題】NEW演歌
- ・カンパ〜イ!←最初の1杯目、なに頼む?
- ・一回も披露したことのない豆知識
- ・これ何て呼びますか
- ・チョコミントアイス
- ・初めて自分の家と他人の家が違う、と意識した時
- ・「これはヤバかったな」という遅刻エピソード
- ・これ何て呼びますか Part2
- ・許せない心理テスト
- ・この人頭いいなと思ったエピソード
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・あなたの習慣について教えてください!!
- ・ハマっている「お菓子」を教えて!
- ・高校三年生の合唱祭で何を歌いましたか?
- ・【大喜利】【投稿~11/1】 存在しそうで存在しないモノマネ芸人の名前を教えてください
- ・好きなおでんの具材ドラフト会議しましょう
- ・餃子を食べるとき、何をつけますか?
- ・あなたの「必」の書き順を教えてください
- ・ギリギリ行けるお一人様のライン
- ・10代と話して驚いたこと
- ・家の中でのこだわりスペースはどこですか?
- ・つい集めてしまうものはなんですか?
- ・自分のセンスや笑いの好みに影響を受けた作品を教えて
- ・【お題】引っかけ問題(締め切り10月27日(日)23時)
- ・大人になっても苦手な食べ物、ありますか?
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・ちょっと先の未来クイズ第4問
- ・【大喜利】【投稿~10/21(月)】買ったばかりの自転車を分解してひと言
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・あなたの習慣について教えてください!!
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
拡張子php画像をjpg画像等に変...
-
PHPで吐き出した画像にリンクを...
-
pictureboxに表示した画像のフ...
-
最も速い画像合成処理を教えて...
-
手作業で埋め込んだ、UserForm1...
-
Apache,phpで画像が表示されない
-
libpngでpng操作がうまくいかない
-
再投稿です。初MacでPythonの勉...
-
C# Webアプリケーションでサム...
-
PHPが読み込まれた時点で動作さ...
-
MatlabによるRGB空間からYUV空...
-
【PHP】画像が表示されず「×」...
-
PostgreSQLのラージオブジェク...
-
VBSの「MsgBox」について
-
PHP echo バックスラッシュの使...
-
PHPのif文でその処理を途中で抜...
-
【file_exists】ファイルが存在...
-
CFileDialogの最初のディレクト...
-
値の受け渡しが出来ない。
-
onedrive にexcelファイルをア...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
VBSの「MsgBox」について
-
透過PNGが透過されない!!
-
拡張子php画像をjpg画像等に変...
-
VBAでJPGサイズ変更
-
Illustratorで文字と画像を流し...
-
手作業で埋め込んだ、UserForm1...
-
PythonのTkinter詳しい方へ。画...
-
「imagejpeg」(GD)で作成した...
-
php,mysqlにて画像パス保存/表...
-
GDI+を使ったビット数とDPIの扱い
-
【PHP】画像が表示されず「×」...
-
PHPで吐き出した画像にリンクを...
-
ビットマップ画像を読み込むプ...
-
Macのxamppでの画像表示について
-
ListViewコントロールでサムネ...
-
Webbrowser上に表示した画像を...
-
PHPのGDライブラリについて
-
最も速い画像合成処理を教えて...
-
pictureboxに表示した画像のフ...
-
C#とJavaで、MP3タグの画像を表...
おすすめ情報