| Autor | Zpráva | ||
|---|---|---|---|
| Dědeček Profil * |
#1 · Zasláno: 6. 4. 2009, 17:38:05
Dobrej, mám dotaz jak zapsat typ souboru aby uzivatel nemohl nahrat nic co je php, html, asp a ruzne soubory co by mohli web narusit, dekuju
if($_FILES['fupload']['type']== |
||
| Flashpro Profil * |
#2 · Zasláno: 6. 4. 2009, 18:09:47
if($_FILES['fupload']['type'] == "application/octet-stream"){
.....
} |
||
| AM_ Profil |
#3 · Zasláno: 6. 4. 2009, 18:58:27 · Upravil/a: AM_
Probůh, takhle určitě ne a ani nijak jinak přes $_FILES['fupload']['type']. Klidně ti na server pošlu PHP kód s mime typem image/jpeg :)
Rozhodující je přípona, podle té Apache rozhoduje, jak k souboru přistupovat. Řešení je několik: 1-ověřovat přímo příponu:
$parsed = explode('.', $_FILES['fupload']['name']); //rozdeli nazev souboru podle tecek
$ext = $parsed[count($parsed)-1]; //text za posledni teckou je pripona
if (in_array(strtolower($ext), array("php", "php3", "php4", "php5", "html", "cgi", "asp", "aspx", "htm"))){
die ('nahravate soubor s nepovolenou priponou!');
}
Nedostatek tohoto řešení je zřejmý: nebezpečných přípon je opravdu hodně. Musíte je a) znát b) vyjmenovat. //edit: ten strtolower je tam důležitý, jinak tím projde třeba .Php 2-připojit na konec "neškodnou" příponu $uploaded_name = $_FILES['fupload']['name'].'.upload'; O 100% bezpečnější, ale zase by si to stahující uživatel musel přejmenovat zpátky. 3-stahovat skriptem, jednoduchý příklad: <?php
header('content-type: application/octet-stream'); //casem mozno vylepsit pomoci mime_get_type, takhle to nabidne stazeni treba i u obrazku
readfile('uploads/$file.upload');
?>A nejlépe přímo do adresáře uploads zakázat přes .htaccess přístup, pak ani nemusíš uploadům přidávat '.upload' |
||
| Fireous Profil |
#4 · Zasláno: 6. 4. 2009, 19:08:05
veľmi pekne napísané,aj vysvetlené,len by som ešte k tomu prvému príkladu dodal,že je lepšie uprednostňovať blacklisting,pred whitelisting-om,teda nenapíšeš aké prípony tam nechceš,ale aké chceš,to vyrieši aj pár nedostatkov
|
||
| AM_ Profil |
#5 · Zasláno: 6. 4. 2009, 19:13:20
Fireous
Jo, naprostá pravda, bohužel za předpokladu, že máš ponětí, co uživatel bude nahrávat. U nějakých univerzálnějších upload skriptů pro různé typy souborů je to ale stejně nevhodné... |
||
| Fireous Profil |
#6 · Zasláno: 6. 4. 2009, 19:19:04
tak tam je najlepšie to pridávanie neškodnej prípony,aj keď sa mi zdá že som niekde videl spôsob ako to obísť pomocou nulového bajtu
|
||
| imploder Profil |
#7 · Zasláno: 6. 4. 2009, 21:33:41
Když tam .htaccessem zakáže přístup, tak nemusí přípony řešit vůbec.
|
||
| Dědeček Profil * |
#8 · Zasláno: 7. 4. 2009, 06:12:03
@AM_ .. díky moc .. zvolil jsem první možnost, příjde mi jako nejlepší je pro mě lepší blacklist, chci omezit jen tyhle přípony, na to abych tam pak vypsal do whitelistu všechny, doc, docx, pdf atd..
Ještě jednou diky :) |
||
| srigi Profil |
#9 · Zasláno: 7. 4. 2009, 06:35:38
AM_
Preco si zvolil WhiteList toho co neprejde? Osobne si myslim, ze lepsi je WhiteList, toho co je povolene. Dědeček Mimochodom napisal som male rozjimanie nad uploadom obrazkov. |
||
| AM Profil * |
#10 · Zasláno: 7. 4. 2009, 08:05:18
srigi
viz [#5] oho co neprojde se spíš říká BlackList :) jak říkám, není to nejšikovnější, ale když potřebuješ nahrát téměř jakoukoli příponu a nejsi schopný realizovat složitější řešení, tak bych v tom neviděl tak velký problém. |
||
|
Časová prodleva: 15 let
|
|||
0