Autor Zpráva
ymer
Profil
mám tenhle script který sem někde našel a malinko si jej poupravil a má velké bezpečnostní díry. Je někdo tak hodny a dal mi do něj zábrany jak tam nevložit .php soubory? Pročítal sem si zde různé témata a zkoušel sám o zabezpečen ale marně :(

upload.php
<meta http-equiv="Content-Type" content="text/html; charset=windows-1250">
<center><?php
if (isset($_FILES['fupload']))
{
$slozka = "upload";
$cil = $slozka . "/" .$_FILES['fupload']['name'];
$nazev_souboru = $_FILES['fupload']['tmp_name'];
$copy = move_uploaded_file($nazev_souboru, $cil)
or die ("<img border=0 src=images/chyba.jpg><br><b>Přenesen&yacute; soubor nelze
zkop&iacute;rovat!</b><br><br><br><font color=FFFFFF>Design and Scripts by danilo.
All rights reserved.</font>");
chmod ($cil, 0644);
if($copy == true){
echo "<img border=0 src=images/status.jpg><br>";
echo "<b>Soubor " .$_FILES['fupload']['name']. " byl &uacute;spě&scaron;ně
nahr&aacute;n.</b>\n<br><a href=\"$cil\">Odkaz na soubor</a> | <b>URL:</b> <font
color=FF9900>http://xxxxf.cz/$cil</font>";
}else{
echo "Soubor nemohl b&yacute;t nahr&aacute;n.\nPočet chyb: " .
$_FILES['fupload']['error'];
}
}
?>
<br>
<p>
<a href="upload.html">Nahr&aacute;t dal&scaron;&iacute; soubor..</a>



díky za pomoc
AM_
Profil
nejlepší metoda je soubory ukládat někam, kam není přístup z webu (třeba složka /uploads, kde si v .htaccess nastavíš "deny from all") a stahování pak řešit přes PHP skript, který soubor přečte a pošle na výstup
ymer
Profil
Mě právě jde o ten script aby nebyl jen tak prolomitelny. Je mi uplně jasne že se jednou přes něj někdo určitě dostane.
AM_
Profil
pokud uděláš to, co jsem napsal, tak to principielně nebude prolomitelné.
ymer
Profil
jenže je problém v tom že tomu zas tak moc nerozumím html docela jo ale PHP vůbec
Lamicz
Profil
Ukládání souborů od uživatele

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: