Forum PHP.pl

witam, mam taki kod do wrzucania plików na serwer...

[PHP] pobierz, plaintext 
<title>Upload
 MP3</title>
 
<?php
 
if($_POST['submit']=="Upload") {
if ($_FILES['file']['name'] != "") {
if (($_FILES['file']['type'] == "audio/mpeg") || ($_FILES['file']['type'] == "application/force-download")) {
if ($_FILES["file"]["size"] < 8097152) {
move_uploaded_file($_FILES["file"]["tmp_name"], "mp3/" . $_FILES["file"]["name"]);
echo "Plik
 został pomyślnie wrzucony na serwer.";}
else { echo "Maksymalny rozmiar pliku to 2MB!";}
} else {
echo "Proszę wrzucić mp3!";
exit;}
} else { echo "Proszę podać plik.";}
}
?>
 
</head>
 
<body>
 
<p style="font-family: verdana;">Proszę wybrać plik mp3: </p>
 
<br />
 
<form action="<?php echo $PHP_SELF ?>" method="post" enctype="multipart/form-data">
 
<input type="file" name="file" size="40" />
 
<br /><br />
 
<input type="submit" name="submit" value="Upload" />
 
<br /><br />
 
<span style="font-family: verdana; font-size: 12px;">* Tylko mp3 ! Maksymalny rozmiar pliku to 2MB.</span>
 
</form>
 
</body>
 
</html>
[PHP] pobierz, plaintext 

myślicie, że jest bezpieczny? może macie lepiej napisane?

o jakim bezpieczeństwie piszesz? o co konkretnie Ci chodzi?

zeby nie dalo sie wrzucic jakiegos pliku niby z rozszerzeniem mp3 a to np. jakis 'trojan'

* Sprawdzaj mimetype
* Sprawdzaj nagłówek pliku mp3

Nie chce mi się używać za ciebie google - gotowcy jest multum (IMG:style_emoticons/default/winksmiley.jpg)
Wysil sie a doradzimy.

czyli ten kod jest w miarę bezpieczny i nikt raczej nie wrzuci mi przez niego coś brzydkiego? (IMG:style_emoticons/default/tongue.gif)

Spokojnie, wrzuci Ci choćby skrypt php odpowiednio modyfikując nagłówki. ;]

mime_content_type - tak jak pisał kolega, sprawdzaj po stronie serwera a nie to co dostajesz od użytkownika.

[PHP] pobierz, plaintext 
<?php
 
$typy_mime = array("audio/mpeg");
$plik_mime = $_FILES['file']['type'];
 
if($_POST['submit']=="Upload") {
if ($_FILES['file']['name'] != "") {
if(in_array($plik_mime,$typy_mime)){
if ($_FILES["file"]["size"] < 8097152) {
move_uploaded_file($_FILES["file"]["tmp_name"], "mp3/" . $_FILES["file"]["name"]);
echo "Plik
 został pomyślnie wrzucony na serwer.";}
else { echo "Maksymalny rozmiar pliku to 2MB!";}
} else {
echo "Proszę wrzucić mp3!";
exit;}
} else { echo "Proszę podać plik.";}
}
?>
[PHP] pobierz, plaintext 

napisałem coś takiego. jak wrzucam plik jpg to wywala błąd.. a jak mam plik nazwa.jpg, zmienię rozszerzenia na nazwa.mp3 to normalnie przechodzi;/ a nie powinno bo niby wpisalem to mime audio/mpeg. hhmm?

Potrafisz czytać? Przestudiuj mojego posta...

potrafie.. tylko nie bardzo rozumiem jak to zrobić :/

pewnie trzeba cos takiego:

[PHP] pobierz, plaintext 
jesli mime_content_type( $_FILES['file']['type'] ) = audio/mpeg to przepusc dalej
[PHP] pobierz, plaintext 

dobrze mysle?

[PHP] pobierz, plaintext 
jesli mime_content_type($_FILES["file"]["tmp_name"]) == audio/mpeg to przepusc dalej
[PHP] pobierz, plaintext 

Tak jak coś ^

Ciężko jest sprawdzić samemu? Zobaczyć przykłady? Poczytać komentarze?

Ten post edytował fifi209 1.11.2010, 16:30:32

[PHP] pobierz, plaintext 
if ((echo mime_content_type($_FILES['file']['name']) == "audio/mpeg")) {
[PHP] pobierz, plaintext 

cos takiego?

konkretniej jako parametr podajesz:

[PHP] pobierz, plaintext 
$_FILES["file"]["tmp_name"]
[PHP] pobierz, plaintext 

Czyli:

[PHP] pobierz, plaintext 
if (mime_content_type($_FILES["file"]["tmp_name"]) == 'audio/mpeg') {
// zapisz
}else{
echo 'Oj ktoś łamie zabezpieczenia';
}
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
echo mime_content_type('mp3/ggg.mp3');
[PHP] pobierz, plaintext 

sprawdzam sobie przykladowy plik mp3 i wywala mi text/plain

i dalej mi 'prawdziwych' plikow nie chce przepuszczac

i czy sprawdzam jpg, png czy jakis inny to pokazuje text/plain ;/

Ten post edytował slawo 2.11.2010, 20:33:05