Defender contra Inclusión remota de archivos donde los atacantes intentan abusar de los archivos de imagen, por lo general, se recomienda que nunca use include
para incluir archivos de imagen en el código PHP.
Sin embargo, a veces, no se puede evitar la imagen include
s (por cualquier motivo, no importa).
En ese caso, generalmente recojo las imágenes en algún lugar del proceso de carga y las convierto a otro formato de imagen (a veces en combinación con una compresión con pérdida) para destruir cualquier código malicioso que pueda contener la imagen original.
Esto funciona, pero no estoy del todo satisfecho. Principalmente debido a la carga adicional del servidor, tal procesamiento produce y las posibles disminuciones de la calidad de imagen que a veces pueden suceder.
¿Existen métodos inteligentes o mejores prácticas al respecto?
EDIT
Para aclarar: estoy hablando de una situación en la que el atacante inyecta el código PHP en un archivo de imagen para ejecutar el código inyectado en el lado del servidor después de cargar la imagen. Los foros, por ejemplo, permiten a los usuarios cargar avatares (archivos de imágenes pequeñas) para personalizarlos.