Zajimalo by me, jak spolehlive je rozeznavani MIME-TYPE v Nette. Dokaze odhalit i pokud si nekdo pohraje s hlavickou odpovedi a mime type prepise na falesnou hodnotu? Aneb kontroluje se jen hodnota, ktera prijde v odpovedi, nebo jsou pouzity nejake slozitejsi postupy?
Vlákno názorů k článku
Nette Framework: Neprůstřelné formuláře II
aura:74
9. 6. 2009 8:33
Re: Form::MIME_TYPE
To je dobrá otázka, nikdy by se nemělo věřit datům odesílaným uživatelem.
V PHP 5.3 se typ zjišťuje analýzou obsahu souboru, informace zaslaná browserem se rovnou zahazuje. V PHP 5.2 není ještě tahle funkce nativní, takže se zkouší další dvě metody a teprve když není nic k dispozici, vrátí se hodnota zaslaná prohlížečem.
Ve frameworku je nástroj Requirements-Checker, který ověřuje konfiguraci serveru a oznámí, jestli je přítomna nějaká chytřejší funkce pro detekci MIME-type, nebo se na hodnotu nelze spoléhat.
