Usuwanie pliku przez użytkownika

Usuwanie pliku przez użytkownika

tosiek Zobacz profil	6.07.2009, 09:36:35 Post #1
Grupa: Zarejestrowani Postów: 142 Pomógł: 0 Dołączył: 7.07.2008 Ostrzeżenie: (0%)	Witam. Mam prosty zamiar dać użytkownikowi możliwość usunięcia pliku. Aktualnie zapisuję sobie: [PHP] pobierz, plaintext <?php $czas = time(); $nazwa = $czas . $_FILES['userfile']['name']; file_put_contents(dirname(__FILE__) . "/../../../../wynikowe/" . $nazwa, $plik); ?> [PHP] pobierz, plaintext No i podaję bezpośredni link do pobrania. I link do usunięcia który działa w ten sposób: [PHP] pobierz, plaintext <?php if(isset($_GET['usun'])) { unlink(dirname(__FILE__) . "/../../../../wynikowe/" . urldecode($_GET['usun'])); echo "plik usuniety"; } echo '<a href="http://tosiek.pl/converter/?usun=' . urlencode($nazwa) . '">Usuń plik: ' . $_FILES['userfile']['name'] . '</a>'; ?> [PHP] pobierz, plaintext I teraz pytanie czy przez to unlink da się usunąć inne pliki, poza katalogiem wynikowe ? I jak to zabezpieczyć ? -------------------- naprawa kodowania bazy danych

leovandamon Zobacz profil	6.07.2009, 10:25:56 Post #2
Grupa: Zarejestrowani Postów: 41 Pomógł: 3 Dołączył: 5.01.2008 Skąd: Czwarty Świat Ostrzeżenie: (0%)	Witam! Napisałem kiedyś funkcyjkę... Może ci się przyda. Ja używam jej do czyszczenia zmiennej z nazwą includowanego pliku. [PHP] pobierz, plaintext <?php function clear($text,$mode='easy') { switch($mode) { case 'full' : // For filenames, etc. Very secure clearing $text = str_replace('~','',$text); $text = str_replace('!','',$text); $text = str_replace('`','',$text); $text = str_replace('@','',$text); $text = str_replace('#','',$text); $text = str_replace('(','',$text); $text = str_replace('$','',$text); $text = str_replace(')','',$text); $text = str_replace('%','',$text); $text = str_replace('_','',$text); $text = str_replace('^','',$text); $text = str_replace('-','',$text); $text = str_replace('&','',$text); $text = str_replace('+','',$text); $text = str_replace('*','',$text); $text = str_replace('=','',$text); $text = str_replace('{','',$text); $text = str_replace('\|','',$text); $text = str_replace('}','',$text); $text = str_replace(':','',$text); $text = str_replace('[','',$text); $text = str_replace(';','',$text); $text = str_replace(']','',$text); $text = str_replace('"','',$text); $text = str_replace('','',$text); $text = str_replace('\'','',$text); $text = str_replace('<','',$text); $text = str_replace('.','',$text); $text = str_replace(',','',$text); $text = str_replace('?','',$text); $text = str_replace('>','',$text); $text = str_replace('/','',$text); $text = str_replace('ą','a',$text); $text = str_replace('ł','l',$text); $text = str_replace('ć','c',$text); $text = str_replace('ń','n',$text); $text = str_replace('ę','e',$text); $text = str_replace('ó','o',$text); $text = str_replace('ś','s',$text); $text = str_replace('ż','z',$text); $text = str_replace('ź','z',$text); $text = str_replace('Ź','z',$text); $text = str_replace('Ą','A',$text); $text = str_replace('Ł','L',$text); $text = str_replace('Ć','C',$text); $text = str_replace('Ń','N',$text); $text = str_replace('Ę','E',$text); $text = str_replace('Ó','O',$text); $text = str_replace('Ś','S',$text); $text = str_replace('Ż','Z',$text); break; case 'normal' : // Normal clearing $text = str_replace('&','&',$text); $text = str_replace('=','=',$text); $text = str_replace('!','!',$text); $text = str_replace('`','`',$text); $text = str_replace('@','@',$text); $text = str_replace('#','#',$text); $text = str_replace('(','(',$text); $text = str_replace('$','$',$text); $text = str_replace(')',')',$text); $text = str_replace('%','&percent;',$text); $text = str_replace('_','_',$text); $text = str_replace('^','^',$text); $text = str_replace('-','-',$text); $text = str_replace('+','+',$text); $text = str_replace('~','~',$text); $text = str_replace('{','{',$text); $text = str_replace('\|','\|',$text); $text = str_replace('}','}',$text); $text = str_replace(':',':',$text); $text = str_replace('[','[',$text); $text = str_replace(';',';',$text); $text = str_replace(']',']',$text); $text = str_replace('"','"',$text); $text = str_replace('','\',$text); $text = str_replace(''','´',$text); $text = str_replace('<','<',$text); $text = str_replace('.','.',$text); $text = str_replace(',',',',$text); $text = str_replace('?','?',$text); $text = str_replace('>','>',$text); $text = str_replace('/','⁄',$text); $text = str_replace('ą','a',$text); $text = str_replace('ł','l',$text); $text = str_replace('ć','c',$text); $text = str_replace('ń','n',$text); $text = str_replace('ę','e',$text); $text = str_replace('ó','o',$text); $text = str_replace('ś','s',$text); $text = str_replace('ż','z',$text); $text = str_replace('ź','z',$text); $text = str_replace('Ź','z',$text); $text = str_replace('Ą','A',$text); $text = str_replace('Ł','L',$text); $text = str_replace('Ć','C',$text); $text = str_replace('Ń','N',$text); $text = str_replace('Ę','E',$text); $text = str_replace('Ó','O',$text); $text = str_replace('Ś','S',$text); $text = str_replace('Ż','Z',$text); break; case 'easy' : // Base clearing $text = str_replace('','',$text); $text = str_replace('\'','',$text); $text = str_replace('./','',$text); break; default : echo '<br />Fatal error: wrong param defined for function clear on line '.__LINE__.'<br />'; } return $text; } ?> [PHP] pobierz, plaintext i użycie: [PHP] pobierz, plaintext <?php $nazwa = clear(urlencode($_GET['usun'])); ?> [PHP] pobierz, plaintext Możesz podać drugi parametr (easy, normal, full). Easy jest domyślnym i jest "akurat" do nazw plików. Normal zamienia większość znaków na encje HTML i do tego polskie znaki diakrytyczne na te bez "kropek" i "ogonków". Full całkiem usuwa wszystkie bardziej "niebezpieczne" znaki. Na pewno możnaby to zrobić lepiej, jednak pisałem to parę lat temu. Mnie wystarcza. Poza tym, niedawno pisałem "eksplorator", być może coś ci się przyda. http://dragonsheart.eu/-/php/manager.txt Część kodu to funkcje bezpośrednio to użycia w moim programie, więc nie zwracaj uwagi. Pozdrawiam, Leo van Damon -------------------- Mój blog: http://test.dragonsheart.eu/ DH Corp: http://www.dhcorp.pl/

pyro Zobacz profil	6.07.2009, 10:30:35 Post #3
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	leovandamon, Twój kod jest totalnie bez sensu. Wywołujesz tę samą funkcję kilkadziesiąt razy, a wystarczy: [PHP] pobierz, plaintext <?php $text = str_replace(array('#', '$'), '', $text); // i analogicznie dla wszystkich znaków ?> [PHP] pobierz, plaintext -------------------- ET LINGUA EIUS LOQUETUR IUDICIUM

tosiek Zobacz profil	6.07.2009, 10:33:42 Post #4
Grupa: Zarejestrowani Postów: 142 Pomógł: 0 Dołączył: 7.07.2008 Ostrzeżenie: (0%)	Czyli do zastapienia są ../ jak i ./ oraz / i // ? nic więcej ? -------------------- naprawa kodowania bazy danych

leovandamon Zobacz profil	6.07.2009, 10:38:01 Post #5
Grupa: Zarejestrowani Postów: 41 Pomógł: 3 Dołączył: 5.01.2008 Skąd: Czwarty Świat Ostrzeżenie: (0%)	pyro, jak już mówiłem, pisałem to x lat temu, kiedy zaczynałem z php. Wiem, że jest to bez sensu, bo można szybciej. Ale wykorzystuję przeważnie tryb "easy" i działa szybko. Mimo wszystko, dzięki. Unowocześnię kod. tosiek, tak. User nie może wychodzić do katalogu wyżej, bo wtedy mógłby usunąć ci dowolny plik z serwera (powiedzmy index.php). Dajesz coś takiego: [PHP] pobierz, plaintext <?php $katalog = 'upload'; // katalog uploadu if($_GET['usun']) { $usun = clear($_GET['usun']); $plik = $katalog.'/'.$usun; unlink($plik); } ?> [PHP] pobierz, plaintext Pisałem z palca. User może wywalić Ci coś z katalogu upload, ale nie może wyjść wyżej. Pozostaje kwestia sprawdzania, czy user może usunąć plik, ale jeśli jako $katalog dasz katalog usera, w którym pliki należą do niego, to tylko te może usunąć. Możesz też sprawdzać w bazie MySQL lub na setki innych sposobów, decyzję pozostawiam Tobie. Ten post edytował leovandamon 6.07.2009, 10:41:25 -------------------- Mój blog: http://test.dragonsheart.eu/ DH Corp: http://www.dhcorp.pl/

tosiek Zobacz profil	15.07.2009, 10:17:26 Post #6
Grupa: Zarejestrowani Postów: 142 Pomógł: 0 Dołączył: 7.07.2008 Ostrzeżenie: (0%)	tym razem napisalem coś takiego: tablica danger: Kod $danger = array("../", "./", "//", "/", "\\\\", "\\", ".htaccess", "index.htm", ); [PHP] pobierz, plaintext <?php if (isset($_GET["usun"])) { $usun = urldecode($_GET['usun']); if(!file_exists(dirname(__FILE__) . "/../../../../wynikowe/" . realpath($usun))) { echo "<h2><span style=\"color:red;\">Plik nie istnieje lub został już usunięty</span></h2>"; } else { if(preg_match("\|" . $danger . "\|", $usun)) { echo "<h2><span style=\"color:red;\">Zabraniam Ci usuwania...</span></h2>"; } else { if (unlink(dirname(__FILE__)."/../../../../wynikowe/".$usun)) { echo"<h2><span style=\"color:green;\">Usunięto plik $usun</span></h2>"; } else { echo"<h2><span style=\"color:red;\">Błąd usuwania {$usun}</span></h2> <p>$php_errormsg</p>"; } } } } ?> [PHP] pobierz, plaintext ale już nie mam pomysłu czemu nadal moge usuwać ../plik.php .htaccess i inne ;/ zmiana: !file_exists(dirname(__FILE__) . "/../../../../wynikowe/" . realpath($usun)) na !file_exists(realpath(dirname(__FILE__) . "/../../../../wynikowe/" . $usun)) nic nie zmienia a innych pomysłów nie mam ;/ Ten post edytował tosiek 15.07.2009, 10:19:56 -------------------- naprawa kodowania bazy danych

planet Zobacz profil	16.07.2009, 10:00:16 Post #7
Grupa: Zarejestrowani Postów: 61 Pomógł: 6 Dołączył: 15.07.2009 Skąd: Śląsk->Ruda Śląska Ostrzeżenie: (0%)	powiedz mi w jaki sposób przechowujesz nazwy plików? są one w bazie? bo jeśli tak to byś mógł rozdzielić nazwę na: nazwa_pliku -> rozszerzenie w liście plików do usunięcia dajesz tylko nazwy potem przy usuwaniu robisz selecta po nazwie i dorzucasz rozszerzenie: unlink("ścieżka_katalogu/".$nazwa_pliku.".".$rozszerzenie_pliku); - jak user wprowadzi nazwę, której nie ma w bazie to nie usunie pliku . - alternatywne rozwiązanie, ale z pewnością wolniejsze.

tosiek Zobacz profil	16.07.2009, 10:20:33 Post #8
Grupa: Zarejestrowani Postów: 142 Pomógł: 0 Dołączył: 7.07.2008 Ostrzeżenie: (0%)	Niestety nigdzie nie przechowuje listy plików, jest to mi zbędne użycia basename() wystarcza, przynajmniej tak mi się wydaje ;P [PHP] pobierz, plaintext <?php if (isset($_GET["usun"])) { $usun = "/home/tosiek/domains/tosiek.pl/public_html/wynikowe/" . basename(urldecode($_GET['usun'])); if(!file_exists($usun)) { echo "<h2><span style=\"color:red;\">Plik nie istnieje lub został już usunięty</span></h2>"; } else { $usun2 = basename($usun); if($usun2 === ".htaccess" \|\| $usun2 === "index.htm") { echo "<h2><span style=\"color:red;\">Zabraniam Ci usuwania...</span></h2>"; } else { if (unlink($usun)) { echo"<h2><span style=\"color:green;\">Usunięto plik $usun2</span></h2>"; } else { echo"<h2><span style=\"color:red;\">Błąd usuwania {$usun2}</span></h2> <p>$php_errormsg</p>"; } } } } ?> [PHP] pobierz, plaintext -------------------- naprawa kodowania bazy danych

« Następny starszy · PHP · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 27.06.2025 - 04:54

Hosting zapewnia

Forum PHP.pl