Autor Zpráva
Leopik 2x
Profil
Viem, že tu už otravujem dnes druhy krát ale potreboval by som vedieť, aké koncovky sú nebezpečné pri uploade. Zablokoval som koncovku .php a neviem ešte aké mám zablokovať. Ďakujem
Taps
Profil
Leopik 2x:
co třeba spustitelné soubory ?
Leopik 2x
Profil
Ale myslím len také súbory, čo sú spustiteľné cez prehliadač (jednoducho od klienta) a ohroziť server. Alebo sa dajú od klienta spustiť aj tie spustiteľné?
SwimX
Profil
Leopik 2x:
php, php4, php5 atd
Alphard
Profil
Jaký je účel uploadování souborů?
Někdy jsou vhodnější white listy oproti black listům, tj. pokud je povolen upload obrázků, tak se kontroluje, jestli je to skutečně obrázek a cokoliv jiného se maže.
Kromě *.php? se někde může vykonat třeba *.phtm(l). Pro 100% jistotu byste se musel podívat do konfigurace Apache. Žádný soubor se samozřejmě nesmí íncludovat apod.
Leopik 2x
Profil
No tiež som najprv rozmýšľal na tým whitelistom ale chcel som to radšej takto. Na tom konkrétnom servere, kde je stránka tak sa vykonáva ako php script len koncovka .php takže som myslel, že to bude stačiť...
SwimX
Profil
Leopik 2x:
taky je možnost uploadovat je do adresáře "upload" a tam dát htaccess deny from all. Záleží co s nimy chceš dále dělat, stahování se dá řeit přes nějaký php skript.
Leopik 2x
Profil
No to, že si ich tam chcem uploadnuť a potom stiahnúť (nechcem, aby boli prezerateľné na servery) ale keď tam dám htaccess tak to nejde stiahnúť... A ako cez php script?
SwimX
Profil
Leopik 2x:
jakože když bude chtít stáhnout soubor a.jpg z adresáře upload tak odkaz bude: stahnout.php?file=a.jpg
a soubor stahnout.php si načte soubor file_get_contents('upload/a.jpg'); odstraní z něj <? (nebo i něco jiného je třeba?) a pak přes header podstrčí uživateli obsah souboru.
Leopik 2x
Profil
OK, ale ako zisím, aký header poslať pri .jpg, aký pri .png (pri týchto by sa to ešte aj dalo) ale pri iných súboroch...?
SwimX
Profil
Leopik 2x:
+- todle http://php.vrana.cz/posilani-souboru-pod-spravnym-nazvem.php ale ty nepotřebujš asi řešit správný název, takže si z toho vem jen ten
header("Content-Type: application/octet-stream");

mělo by to prostě vzít soubor a uživatel ho má možnost stáhnout, ať už je to co je to. (snad, nezkoušel jsem, kdybych kecal, nemůžu za to :)))
AM_
Profil
Nebo dej do složky s uploadovanými soubory .htaccess s tímto řádkem:
php_flag engine off

a máš vystaráno.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: