Autor | Zpráva | ||
---|---|---|---|
gardener Profil |
#1 · Zasláno: 7. 12. 2008, 17:35:58
Zdravím
Vytvořil jsme si jednoduhý skript na omezení nahrávání nežádoucích souborů na web, ale netuším jaký MIME typ označuje napříkald PHP skripty? Netuší prosím někdo? A ještě jeden dotaz, na které souboru by si měl majitel dát obzvláště pozor aby se nadaly nahrát(určitě PHP a spustitelné soubory) ale zdali je ještě něco dalšího na co si dát pozor a pokud možno proč? Díky za každou radu... |
||
Jan Tvrdík Profil |
gardener
1. Nelze použít mime typ poslaný prohlížečem (lze snadno podvrhnout) 2. Je potřeba zakázat ty koncovky, které server parsuje. 3. Zkus si přečíst Diskuse: zakázání parsování php 4. Při správném zacházení (tzn., že je nepůjde spustit) není problém povolit upload i PHP souborů |
||
krteczek Profil |
#3 · Zasláno: 8. 12. 2008, 13:38:42
Doporučuji použít podobnou strategii jakou jsem navrhnul ve výše zmíněném odkaze: Vytvořit si seznam koncovek souborů a k nim povolené mimetypy, třeba tak jak to řeším v Texyle jak je řešena uploadovací třída najdeš tady: http://code.google.com/p/texyla/source/browse/trunk/texyla/php/ajaxupload.php
|
||
Mastodont Profil |
#4 · Zasláno: 8. 12. 2008, 13:46:41
gardener
Dobrá adresa: http://blackhole.sk/topicupload-suborov-v-php-nebezpecne-gif-obrazky |
||
Leo Profil |
#5 · Zasláno: 8. 12. 2008, 14:41:48
"Doporučuji použít podobnou strategii jakou jsem navrhnul ve výše zmíněném odkaze: Vytvořit si seznam koncovek souborů a k nim povolené mimetypy"
A jak ty mime-typy pro uploadovany soubor zjistujete? Leo |
||
krteczek Profil |
#6 · Zasláno: 8. 12. 2008, 15:00:12 · Upravil/a: krteczek
Leo: nahlédnutím na druhý můj odkaz byste zjitil že takhle:
// zjištění MimeTypu souboru if(class_exists('finfo')) { $finfo = new finfo(); $this->mimeType = $finfo->file($_FILES[$files]['tmp_name']); } else { $this->mimeType = mime_content_type($_FILES[$files]['tmp_name']); } EDIT: je pravda že text je v předešlém příspěvku dvojznačný. Neměla tam být dvojtečka, ale tečka a další text na novém řádku nebo odstavci... |
||
Časová prodleva: 15 let
|
0