Would that pose a security risk of him injecting something into my code?
Sì
Se consenti ai tuoi utenti di caricare un file immagine senza convalida "robusta", è semplice per un utente malintenzionato caricare un file PHP dannoso (ad es. simularlo come immagine cambiando l'intestazione della richiesta Content-Type) ed eseguirlo sul tuo server o ottenere un accesso remoto.
La gestione sicura del caricamento dei file non è facile. È possibile trovare il seguente articolo utile per saperne di più sui suoi rischi e raccomandazioni sulla sicurezza:
Non è possibile che un utente possa "riscrivere un'immagine caricata come file php" perché i file php sono riconosciuti dal suo .php che non termina con il suo contenuto.
Ma ci sono altri aspetti relativi al caricamento delle immagini che possono essere sfruttati. Visualizzare i metadati senza convalidarli, ad esempio, può essere un rischio per la sicurezza. Ciò consentirebbe potenzialmente a un utente malintenzionato di caricare un'immagine e inserire il codice analizzato dal lato client nel sito Web modificando i metadati.
Sì, è possibile. Ma non solo xss. Può portare all'esecuzione di comandi da remoto se l'immagine viene caricata sul server. Per evitare che ciò ricreino sempre un'immagine caricata in file di immagine con nome casuale.
Se autorizzi l'incorporamento di immagini da altri siti web. Devi prenderti cura di xss sugli input dell'utente. Altrimenti non ci sono rischi. Dal momento che il browser non elaborerà JavaScript dai file di immagine, anche se ci sono dei
Leggi altre domande sui tag xss