Autor | Zpráva | ||
---|---|---|---|
ymer Profil |
mám tenhle script který sem někde našel a malinko si jej poupravil a má velké bezpečnostní díry. Je někdo tak hodny a dal mi do něj zábrany jak tam nevložit .php soubory? Pročítal sem si zde různé témata a zkoušel sám o zabezpečen ale marně :(
upload.php <meta http-equiv="Content-Type" content="text/html; charset=windows-1250"> <center><?php if (isset($_FILES['fupload'])) { $slozka = "upload"; $cil = $slozka . "/" .$_FILES['fupload']['name']; $nazev_souboru = $_FILES['fupload']['tmp_name']; $copy = move_uploaded_file($nazev_souboru, $cil) or die ("<img border=0 src=images/chyba.jpg><br><b>Přenesený soubor nelze zkopírovat!</b><br><br><br><font color=FFFFFF>Design and Scripts by danilo. All rights reserved.</font>"); chmod ($cil, 0644); if($copy == true){ echo "<img border=0 src=images/status.jpg><br>"; echo "<b>Soubor " .$_FILES['fupload']['name']. " byl úspěšně nahrán.</b>\n<br><a href=\"$cil\">Odkaz na soubor</a> | <b>URL:</b> <font color=FF9900>http://xxxxf.cz/$cil</font>"; }else{ echo "Soubor nemohl být nahrán.\nPočet chyb: " . $_FILES['fupload']['error']; } } ?> <br> <p> <a href="upload.html">Nahrát další soubor..</a> díky za pomoc |
||
AM_ Profil |
#2 · Zasláno: 27. 10. 2009, 20:11:31
nejlepší metoda je soubory ukládat někam, kam není přístup z webu (třeba složka /uploads, kde si v .htaccess nastavíš "deny from all") a stahování pak řešit přes PHP skript, který soubor přečte a pošle na výstup
|
||
ymer Profil |
#3 · Zasláno: 27. 10. 2009, 20:21:30
Mě právě jde o ten script aby nebyl jen tak prolomitelny. Je mi uplně jasne že se jednou přes něj někdo určitě dostane.
|
||
AM_ Profil |
#4 · Zasláno: 27. 10. 2009, 20:34:04
pokud uděláš to, co jsem napsal, tak to principielně nebude prolomitelné.
|
||
ymer Profil |
#5 · Zasláno: 27. 10. 2009, 20:54:29
jenže je problém v tom že tomu zas tak moc nerozumím html docela jo ale PHP vůbec
|
||
Lamicz Profil |
#6 · Zasláno: 27. 10. 2009, 21:11:52
|
||
Časová prodleva: 14 let
|
0