Autor | Zpráva | ||
---|---|---|---|
Leopik 2x Profil |
#1 · Zasláno: 9. 2. 2010, 19:39:55
Viem, že tu už otravujem dnes druhy krát ale potreboval by som vedieť, aké koncovky sú nebezpečné pri uploade. Zablokoval som koncovku .php a neviem ešte aké mám zablokovať. Ďakujem
|
||
Taps Profil |
#2 · Zasláno: 9. 2. 2010, 19:43:32
Leopik 2x:
co třeba spustitelné soubory ? |
||
Leopik 2x Profil |
#3 · Zasláno: 9. 2. 2010, 19:44:54 · Upravil/a: Leopik 2x
Ale myslím len také súbory, čo sú spustiteľné cez prehliadač (jednoducho od klienta) a ohroziť server. Alebo sa dajú od klienta spustiť aj tie spustiteľné?
|
||
SwimX Profil |
#4 · Zasláno: 9. 2. 2010, 19:49:26
Leopik 2x:
php, php4, php5 atd |
||
Alphard Profil |
#5 · Zasláno: 9. 2. 2010, 19:51:43
Jaký je účel uploadování souborů?
Někdy jsou vhodnější white listy oproti black listům, tj. pokud je povolen upload obrázků, tak se kontroluje, jestli je to skutečně obrázek a cokoliv jiného se maže. Kromě *.php? se někde může vykonat třeba *.phtm(l). Pro 100% jistotu byste se musel podívat do konfigurace Apache. Žádný soubor se samozřejmě nesmí íncludovat apod. |
||
Leopik 2x Profil |
#6 · Zasláno: 9. 2. 2010, 20:04:44
No tiež som najprv rozmýšľal na tým whitelistom ale chcel som to radšej takto. Na tom konkrétnom servere, kde je stránka tak sa vykonáva ako php script len koncovka .php takže som myslel, že to bude stačiť...
|
||
SwimX Profil |
#7 · Zasláno: 9. 2. 2010, 20:07:55
Leopik 2x:
taky je možnost uploadovat je do adresáře "upload" a tam dát htaccess deny from all. Záleží co s nimy chceš dále dělat, stahování se dá řeit přes nějaký php skript. |
||
Leopik 2x Profil |
#8 · Zasláno: 9. 2. 2010, 20:11:43
No to, že si ich tam chcem uploadnuť a potom stiahnúť (nechcem, aby boli prezerateľné na servery) ale keď tam dám htaccess tak to nejde stiahnúť... A ako cez php script?
|
||
SwimX Profil |
#9 · Zasláno: 9. 2. 2010, 20:14:01 · Upravil/a: SwimX
Leopik 2x:
jakože když bude chtít stáhnout soubor a.jpg z adresáře upload tak odkaz bude: stahnout.php?file=a.jpg a soubor stahnout.php si načte soubor file_get_contents('upload/a.jpg'); odstraní z něj <? (nebo i něco jiného je třeba?) a pak přes header podstrčí uživateli obsah souboru.
|
||
Leopik 2x Profil |
#10 · Zasláno: 9. 2. 2010, 20:19:30
OK, ale ako zisím, aký header poslať pri .jpg, aký pri .png (pri týchto by sa to ešte aj dalo) ale pri iných súboroch...?
|
||
SwimX Profil |
#11 · Zasláno: 9. 2. 2010, 20:45:01
Leopik 2x:
+- todle http://php.vrana.cz/posilani-souboru-pod-spravnym-nazvem.php ale ty nepotřebujš asi řešit správný název, takže si z toho vem jen ten header("Content-Type: application/octet-stream"); mělo by to prostě vzít soubor a uživatel ho má možnost stáhnout, ať už je to co je to. (snad, nezkoušel jsem, kdybych kecal, nemůžu za to :))) |
||
AM_ Profil |
#12 · Zasláno: 9. 2. 2010, 21:11:36
Nebo dej do složky s uploadovanými soubory .htaccess s tímto řádkem:
php_flag engine off a máš vystaráno. |
||
Časová prodleva: 14 let
|
0