| Autor | Zpráva | ||
|---|---|---|---|
| Fuk Profil * |
#1 · Zasláno: 25. 11. 2010, 17:52:59
Jak se dá zjistit nebo ošetřid, aby v názvu souboru neměl diakritiku a mezery?
|
||
| Darker Profil |
#2 · Zasláno: 25. 11. 2010, 18:11:03 · Upravil/a: Darker
$filename=preg_replace ("~[^0-9a-zA-Z]~","" ,$_FILES["file"]["name"]);Odstraní vše nežadoucí. Na mezery použiješ str_replace() |
||
| Keeehi Profil |
#3 · Zasláno: 25. 11. 2010, 19:53:45
Darker:
Toto ti smaže i ty mezery. Odstraní to však i třeba tečku, takže vlastně začnou vznikat soubory bez koncovky. Další věc: Co když název souboru bude "čřžýá.jpg"? Zbude z něj jen "jpg". To asi není dobré. Takže lepší by asi bylo nějaké nahrazení znaků (Á => A, ü => u, atd.) Můžeš využít třeba toto. Po tomto bych provedl odstranění těch znaků, které by nebyly převedeny. Ovšem je třeba Darkerův regulár upravit. Pořád však hrozí nebezpečí nulové délky názvu, takž nezapomenout ošetřit! A nakonec si zkontrolovat koncovku, zda je povolené takový soubor nahrát. PS schválně jestli víš, proč kontrolu koncovky nechat až na konec. |
||
| Fuk Profil * |
#4 · Zasláno: 25. 11. 2010, 20:09:43
Díky.
|
||
| Fuk Profil * |
#5 · Zasláno: 25. 11. 2010, 20:11:45
Keeehi:
„PS schválně jestli víš, proč kontrolu koncovky nechat až na konec.“ Tak to nevím. Nechám se nachytat. |
||
| Keeehi Profil |
#6 · Zasláno: 25. 11. 2010, 20:21:12 · Upravil/a: Keeehi
Fuk:
Zjednodušený příklad: //1.
if(substr($_FILES["file"]["name"],-3)!="php"){
$filename=preg_replace ("~[^0-9a-zA-Z\.]~","" ,$_FILES["file"]["name"]);
//uložení souboru pod názvem z $filename
}
//2.
$filename=preg_replace ("~[^0-9a-zA-Z\.]~","" ,$_FILES["file"]["name"]);
if(substr($filename,-3)!="php"){
//uložení souboru pod názvem z $filename
}Vidíš rozdíl (kde by mohl nastat u prvního problém?) Rozluštění: |
||
| Fuk Profil * |
#7 · Zasláno: 25. 11. 2010, 21:02:10
Abych se přiznal, tak jsem to neviděl a musel jsem si to přečíst.
Když bys sis uploadnul osklivy.phpš tak se to převede a teoreticky kdyby měl dobře v nitřní kód, tak by to ničemu nevadilo. Ale díky za vysvětlení, tuto chvíli jsem zas moudřejší a už si budu dávat větší pozor jak to udělat pořádně. |
||
| Keeehi Profil |
#8 · Zasláno: 25. 11. 2010, 21:27:01
Trochu jsem tě nepochopil a myslím, že ty mě taky ne.
Ten kód z osklivy.phpš se nevloží do scriptu pro upload. O tom to není. Jde o to, že to projde kontrolou nepovolené koncovky (hpš!=php), ale pak se to š ořízne a soubor se uloží pod osklivy.php. Potom není problém zavolat adresu www.example.com/uploady/osklivy.php a můj nahraný kód se spustí. Můžu tam mít třeba kód, který projde všechny složky a do zipu přidá všechny soubory ch najde a pak tento zip nabídne ke stažení. A v tu ránu mám u sebe na počítači úplnou kopii tvých stránek. Z těch souborů si můžu zjistit přihlašovací údaje k databázi a zase si můžu nahrát nový script a stáhnout celý obsah databáze. Prakticky si mohu s tvým webem dělat co chci. Takže na ošetření uploadovaných souborů si musíš dávat pozor. |
||
| __construct Profil |
#9 · Zasláno: 26. 11. 2010, 08:57:16
Keeehi:
„Můžeš využít třeba toto.“ Alebo lepšie toto s tým že si uprav regulár aby nemenil na pomlčku aj bodku… |
||
| Davex Profil |
Keeehi:
Ve jménu souboru je dobré zakázat jakýkoliv výskyt .php, protože na některých webserverech se interpretuje PHP kód i v souborech s libovolnou příponou: nevinnysoubor.php.cokoliv. Nebo lépe zakázat v .htaccess provádění všech skriptů v adresáři s nahranými soubory: SetHandler default-handler |
||
| Keeehi Profil |
#11 · Zasláno: 26. 11. 2010, 21:43:57 · Upravil/a: Keeehi
Davex:
O tom vím. Už jsem o tom četl tady. (část PHP Upload) Jak ale bylo vidět, Fuk ani netušil, že by mohl mít nějaký problém s bezpečností. Věřím (doufám), že jsem mu ukázal jak je důležité nevěřit uživatelům a sám si něco o bezpečnosti našel. Pokud tak neudělal, je to jeho vlastní problém. |
||
|
Časová prodleva: 13 let
|
|||
0