| Autor | Zpráva | ||
|---|---|---|---|
| ymer Profil |
mám tenhle script který sem někde našel a malinko si jej poupravil a má velké bezpečnostní díry. Je někdo tak hodny a dal mi do něj zábrany jak tam nevložit .php soubory? Pročítal sem si zde různé témata a zkoušel sám o zabezpečen ale marně :(
upload.php
<meta http-equiv="Content-Type" content="text/html; charset=windows-1250">
<center><?php
if (isset($_FILES['fupload']))
{
$slozka = "upload";
$cil = $slozka . "/" .$_FILES['fupload']['name'];
$nazev_souboru = $_FILES['fupload']['tmp_name'];
$copy = move_uploaded_file($nazev_souboru, $cil)
or die ("<img border=0 src=images/chyba.jpg><br><b>Přenesený soubor nelze
zkopírovat!</b><br><br><br><font color=FFFFFF>Design and Scripts by danilo.
All rights reserved.</font>");
chmod ($cil, 0644);
if($copy == true){
echo "<img border=0 src=images/status.jpg><br>";
echo "<b>Soubor " .$_FILES['fupload']['name']. " byl úspěšně
nahrán.</b>\n<br><a href=\"$cil\">Odkaz na soubor</a> | <b>URL:</b> <font
color=FF9900>http://xxxxf.cz/$cil</font>";
}else{
echo "Soubor nemohl být nahrán.\nPočet chyb: " .
$_FILES['fupload']['error'];
}
}
?>
<br>
<p>
<a href="upload.html">Nahrát další soubor..</a>díky za pomoc |
||
| AM_ Profil |
#2 · Zasláno: 27. 10. 2009, 20:11:31
nejlepší metoda je soubory ukládat někam, kam není přístup z webu (třeba složka /uploads, kde si v .htaccess nastavíš "deny from all") a stahování pak řešit přes PHP skript, který soubor přečte a pošle na výstup
|
||
| ymer Profil |
#3 · Zasláno: 27. 10. 2009, 20:21:30
Mě právě jde o ten script aby nebyl jen tak prolomitelny. Je mi uplně jasne že se jednou přes něj někdo určitě dostane.
|
||
| AM_ Profil |
#4 · Zasláno: 27. 10. 2009, 20:34:04
pokud uděláš to, co jsem napsal, tak to principielně nebude prolomitelné.
|
||
| ymer Profil |
#5 · Zasláno: 27. 10. 2009, 20:54:29
jenže je problém v tom že tomu zas tak moc nerozumím html docela jo ale PHP vůbec
|
||
| Lamicz Profil |
#6 · Zasláno: 27. 10. 2009, 21:11:52
|
||
|
Časová prodleva: 14 let
|
|||
0