| Autor | Zpráva | ||
|---|---|---|---|
| unlucky Profil |
#1 · Zasláno: 9. 3. 2012, 13:26:19
uzivatelum chci povolit obrazky a textove dokumenty. u textovych dokumentu nevim jak definovat, protoze koncovek/typu je mnoho. chci tim hlavne zabranit uploadu skriptu
|
||
| Someone Profil |
Vytvoři si pole povolených typů a při uploadu zjišťuj zda se jedná o povolený formát.
if (in_array($koncovka,$povolene_koncovky)) {pokračovat...} else {neplatný formát}
|
||
| Ugo Profil |
#3 · Zasláno: 9. 3. 2012, 13:32:37
samozřejmě koncovka nemá žádný význam, takže jestli je možnost že by se mu povedlo spustit (include) třeba rozpis.doc, tak bys měl dokument ještě projít a nahradit nevhodné řetězce (<?, <?php)
|
||
| Keeehi Profil |
#4 · Zasláno: 9. 3. 2012, 15:51:12
Ugo:
Koncovka má naopak velký význam. |
||
| unlucky Profil |
#5 · Zasláno: 9. 3. 2012, 16:13:14
problem je hlavne s tim, ze treba u php je take php3 atd... nevim vsechny mozne koncovky, proto se ptam na nazor
|
||
| Keeehi Profil |
#6 · Zasláno: 9. 3. 2012, 16:29:18
Udělej si whitelist ne blacklist. (ne koncovky zakazovat, ale vyjmenovat jen povolené)
|
||
| Someone Profil |
#7 · Zasláno: 9. 3. 2012, 16:31:08
Jak říká Keeehi, podobně jak jsem to udělal ve [#2]
|
||
| Keeehi Profil |
#8 · Zasláno: 9. 3. 2012, 16:41:52
Someone:
Jen by to chtělo k tomu ještě přidat převedení koncovky třeba na malá písmena. in_array() je case-sensitive. |
||
| Davex Profil |
#9 · Zasláno: 9. 3. 2012, 18:48:20
Doporučuji ještě pamatovat na „víc přípon“ - Ošetření uploadu..
|
||
| unlucky Profil |
#10 · Zasláno: 9. 3. 2012, 22:34:41
super, staci mi ten SetHandler default-handler
Jinak proc mi nevyhovuji whitelist a ani blacklist, protoze nevim predem, co uzivatel nahraje. |
||
|
Časová prodleva: 11 let
|
|||
0