سلام به دوستان

زبانی که استفاده می کنم asp کلاسیکه
یک صفحه ای در سایت خودم گذاشتم که هر کدام از اعضا می توانند یک فایل
jpg
را آپلود کنند و به این ترتیب در سایت ما دارای
AVATAR
یا عکس کوچک خود شوند.

نکته ای که مهم است این است که اگر یک
بدخواه و بداندیش بجای فایل jpg برای من فایلی حاوی کدهای مخرب از نوع asp یا جاوا xss و غیره را upload کند آن وقت ممکن است که سایت ما را هک کند.

راه عملی مقابله با این مشکل به چه صورت است.

آیا می توانم متن و کداسکی داخل یک فایل jpg را خودم scan کنم و اگر یک jpg واقعی بود آنگاه آنرا در داخل سرور ذخیره کنم؟

نکته ای با ید اشاره کنم این است که عکس داخل یک فولدر در داخل سرور ذخیره می شود و این یعنی، فقط نام و آدرس عکس داخل دیتا بیس ذخیره می شود.

آیا اصولا خطری از این بابت مرا تهدید می کند؟
یا نگرانی من بی مورد است.

خیلی متشکرم
------------------
عکسها خیلی محرمانه نیست و دیگران هم می توانند ببینند
نگرانی من اینکه که یک فایل exe یا یک چیزه دیگره را با پسوند jpg آپلود کنند بعد بتونند بوسلیه آن به سایت من حمله کنند
یعنی اگر فقط پسوند را چک کنیم کافیته؟

لطفا اگر می توانید یک کد سمپل در این رابطه به من بدهید
با تشکر

100 در صد خطر تهدیدتون می کنه اگه درست ست نشده باشه
کافیه یه کد ساده به آپلودرتون اضافه کنید که پسوند فایل ها رو چک کنه و فقط اگه jpg بود قبول کنه

می شه بیشتر توضیح بدید؟ (یک مقدار کد سمپل بدید)

بعد هم نمی شه مطالب خطر ناک را با پسوند jpg فرستاد؟

امنیت این بخش خیلی مهمه و باید حتماً کنترل کنید شما ، برای اینکه درک بهتری از قضیه داشته باشید پیشنهاد می کنم جستجو کنید و روش های نفوذ از این طریق رو ببینید تا دیدتون نسبت به امن سازی بازتر شود .

پیشنهادم اینه که شما خود عکس رو داخل db قرار بدید و با کوئری بکشید بیرون اینطوری باز یه لول جلوترین و هرکسی نمی تونه هر لحظه که دلش خواست لود کنه

تاپیک های زیر می تونه کمکتون کنه :

[Only registered and activated users can see links]

آموزش قراردادن عکس در پایگاه داده ([Only registered and activated users can see links])

عکسها خیلی محرمانه نیست و دیگران هم می توانند ببینند
نگرانی من اینکه که یک فایل exe یا یک چیزه دیگره را با پسوند jpg آپلود کنند بعد بتونند بوسلیه آن به سایت من حمله کنند

لطفا اگر می توانید یک کد سمپل در این رابطه به من بدهید
با تشکر

اگر یک دوستی آمد و یک فایل exe را با پسوند jpg گذاشت و آپلود کرد دیگه مشکلی پیش نمی یاد؟

یعنی اگر فقط پسوند را چک کنیم کافیته؟

در مورد محدودیت حجمی چند کیلو بایت به پایین نمی شه فایلهای مخرب فرستاد؟
مثالا چک کنم که حجم های بالاتر از این حد را نپذیرم

اگر یک دوستی آمد و یک فایل exe را با پسوند jpg گذاشت و آپلود کرد دیگه مشکلی پیش نمی یاد؟

یعنی اگر فقط پسوند را چک کنیم کافیته؟

در مورد محدودیت حجمی چند کیلو بایت به پایین نمی شه فایلهای مخرب فرستاد؟
مثالا چک کنم که حجم های بالاتر از این حد را نپذیرم


دوست عزیز در لینک هایی که قرار دادم توضیح کامل داده شده است .