| Autor | Zpráva | ||
|---|---|---|---|
| exec Profil * |
#1 · Zasláno: 13. 7. 2008, 22:03:55
Ahoj, chtěl bych se zeptat, jestli někdo nevíte o zdrojáku pomocí kterého se dají na server uložit soubory rar nebo zip. Na Intervalu jsem něco našel, ale v diskuzi se psalo, že kod není zabezpečený a podobně. Potřeboval bych aby se pomoci něj nedal ovládnout cely web nebo udělat jiné kroky na webu než uploadovani souboru.
Předem děkuju. |
||
| Filips Profil |
#2 · Zasláno: 13. 7. 2008, 22:08:39
No já jsem na netu taky nic schopného nenašel. Píšu si něco svého. Dělám podle knihy Mistrovství v PHP 5 je to dost dobrá kniha. Internet je takových uploadů plný, ale většinou to nestojí zanic. Zkus ještě něco pohledat třeba na jak na web nebo se podívat na www.linuxsoft.cz je tam seriál o php tam by mohl být návod na výrobu ;-)
|
||
| exec Profil * |
#3 · Zasláno: 13. 7. 2008, 22:32:10
Praveze vytvaret sam si to moc nechci, protoze se bojim ze mi to nekdo hackne, jenom prece je tam ukladani souboru na servr, kdyby se tam nekomu podarilo vlzit php kod a nasledne spustit, muze to mit destruktivni ucinek na web. I kdyz zabezpecim aby posledni tri pismena byli zip, rar, tak muze vlozit nulovy bajt a to nevim jak ochranit. Bojim se to delat, radej bych byl aby to bylo uz hotove a bezpecne.
Predem dekuji za dalsi odpoledi |
||
| Filips Profil |
#4 · Zasláno: 13. 7. 2008, 22:47:24
Nevím co je nulový bajt, ale myslím si že pokud tam nepustíš nic jiného než zip a rar (budeš to porovnávat podle mime typu) tak by to mělo být bezpečné ;-)
|
||
| bukaj Profil |
#5 · Zasláno: 14. 7. 2008, 12:12:18
exec
Řekl bych, že se zbytečně bojíš. K tomu, aby ti případný útočník uploadoval záškodnický kód a ještě se mu ho podařilo spustit, bys musel udělat nějakou opravdovou blbost. Podle mě, pokud budeš kontrolovat důsledně koncovky a mime-typy, ukládat soubory do složky, do které není volný přístup přes HTTP, nebo databáze, a možnost stáhnutí řídit přes nějaký servisní skript (ne ovšem stylem include "uploadovane_soubory/" . $_GET["soubor"]; :o)), nezdá se mi, že by případný útočník měl šanci. Prostě pokud zamezíš tomu, abys uploadované soubory proháněl PHP interpretem, není zde možnost, jak spustit záškodnický kód. Ještě je zde druhá možnost -- jsi líný a prostě chceš hotové řešení. Pak ti doporučuji, aby ses skamarádil s Googlem. Ten ti to najde ;o) |
||
| ninja Profil |
#6 · Zasláno: 14. 7. 2008, 12:20:38
exec: zip i rar se nahravaji na server uplne stejne jako jine soubory. A prikladu i hotovych reseni je na webu spousta, i dobrych a bezpecnych.
|
||
|
Časová prodleva: 16 let
|
|||
0