Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

Zabezpieczyć unlink

Tsiru Zobacz profil	17.04.2005, 14:47:43 Post #1
Grupa: Zarejestrowani Postów: 213 Pomógł: 0 Dołączył: 7.01.2005 Skąd: Nigdzie Ostrzeżenie: (0%)	Czy można jakoś zabezpieczyć skrypt, żeby mógł usuwać pliki z tylko jednego katalogu ? Niechciełbym, żeby ktoś przy użyciu własnego formulaża wyczyścił mi stronę.

Kuziu Zobacz profil	17.04.2005, 16:10:35 Post #2
Grupa: Zarejestrowani Postów: 743 Pomógł: 0 Dołączył: 11.11.2003 Skąd: Toruń Ostrzeżenie: (0%)	eeeee ? Udostępniasz komuś konto czy o co Ci chodzi ? Czy może masz formularz w którym użytkownik może wpisywać komendy php.

Tsiru Zobacz profil	17.04.2005, 17:14:42 Post #3
Grupa: Zarejestrowani Postów: 213 Pomógł: 0 Dołączył: 7.01.2005 Skąd: Nigdzie Ostrzeżenie: (0%)	Mam strenke, która robie z kumplami, i zrobiłem taki panel do uploadowania plików, dodawania i edycji artykułow itp. A jak jest upload, to kasować pliki też by pasowało. Tylko któremuś może odstrzelić, i zacznie coś zmieniać, to może popsuć pare rzeczy, i dlatego chciałbym wiedzieć, czy da się ograniczyć kasowanie plików do tylko jednego katalogu ?

hwao Zobacz profil	17.04.2005, 19:59:41 Post #4
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	Obowiam sie ze nie... .htaccess'em mozna probowac ale to.... roznie bywa. Najbezpieczniej bedzie wylaczyc mozliwosc uploadu plikow, ktore sa interpretowane przez paser php...

Kuziu Zobacz profil	17.04.2005, 21:03:56 Post #5
Grupa: Zarejestrowani Postów: 743 Pomógł: 0 Dołączył: 11.11.2003 Skąd: Toruń Ostrzeżenie: (0%)	A co do kasowania to możesz dać możliwość kasowania tylko tych plików które były zuploadowane przez www ... trzymaj ich nazwy czy id w mysql'u Ten post edytował Kuziu 17.04.2005, 21:04:07

Tsiru Zobacz profil	18.04.2005, 11:08:58 Post #6
Grupa: Zarejestrowani Postów: 213 Pomógł: 0 Dołączył: 7.01.2005 Skąd: Nigdzie Ostrzeżenie: (0%)	A w jaki sposób można przerobić taki skrypcik, aby przepuszczał tyylko .jpeg, .jpg, .gif i .png ? [PHP] pobierz, plaintext if (!isSet($_FILES['myfile'])) { ?> <form enctype=\"multipart/form-data\" action=\"<?= $PHP_SELF ?>\" method=\"post\">'; <input type=\"file\" name=\"myfile\"> <input type=\"submit\" value=\"submit\"> <input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"10000\"> </form> <?php } else if (is_uploaded_file($_FILES['myfile']['tmp_name'])) { move_uploaded_file($_FILES['myfile']['tmp_name'], \"picture/\".$_FILES['myfile']['name']); echo \"Udany upload pliku!\"; } else die('Próba ataku! Plik: ' . $_FILES['myfile']['name']); [PHP] pobierz, plaintext Próbowałem się z tym zmierzyć, ale niewyszło :/

Kuziu Zobacz profil	18.04.2005, 11:17:15 Post #7
Grupa: Zarejestrowani Postów: 743 Pomógł: 0 Dołączył: 11.11.2003 Skąd: Toruń Ostrzeżenie: (0%)	Poczytej o MIME Types [PHP] pobierz, plaintext <?php $_FILES['nazwa']['type']; // Zwraca MIME uploadowanego pliku ?> [PHP] pobierz, plaintext

hwao Zobacz profil	18.04.2005, 11:20:57 Post #8
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	[PHP] pobierz, plaintext <?php $deny = array( 'php', 'php3', 'php4' ); if( in_array( array_pop( explode( '.', $_FILES['myfile']['name'] ) ), $deny ) ) { // moglem cos zle zamkac bo z glowy;) echo 'plikow php nie chcemy :)'; }else{ move_uploaded_file($_FILES['myfile']['tmp_name'], \"picture/\".$_FILES['myfile']['name']); echo \"Udany upload pliku!\"; } ?> [PHP] pobierz, plaintext

Kuziu Zobacz profil	18.04.2005, 11:26:36 Post #9
Grupa: Zarejestrowani Postów: 743 Pomógł: 0 Dołączył: 11.11.2003 Skąd: Toruń Ostrzeżenie: (0%)	Hwao myślę że MIME jest bardziej bezpieczne ... nie sprawdza nazwy pliku a zawartość (nagłówek pliku).

hwao Zobacz profil	18.04.2005, 11:28:08 Post #10
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	Cytat(Kuziu @ 2005-04-18 12:26:36) Hwao myślę że MIME jest bardziej bezpieczne ... nie sprawdza nazwy pliku a zawartość (nagłówek pliku). ale apache(serwer) pliki wysyla do paser'a wg rozszerzen (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) nie wazna jest dla niego zawartosc (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) poszukuje tagow php Btw: dorzuc do tablicy plik .htaccess zeby nikc Ci konfiguracji nie zmienil (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Kuziu Zobacz profil	18.04.2005, 11:29:50 Post #11
Grupa: Zarejestrowani Postów: 743 Pomógł: 0 Dołączył: 11.11.2003 Skąd: Toruń Ostrzeżenie: (0%)	No i o tym własnie mówię. Ktoś wrzuci plik *.HTML z tagami php i będzie włączone parsowanie plików HTML i Twój skrypt już się wysypie. A przez MIME by to nie przeszło.

hwao Zobacz profil	18.04.2005, 11:33:47 Post #12
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	Cytat(Kuziu @ 2005-04-18 12:29:50) No i o tym własnie mówię. Ktoś wrzuci plik *.HTML z tagami php i będzie włączone parsowanie plików HTML i Twój skrypt już się wysypie. A przez MIME by to nie przeszło. To juz zalezy od ustawien serwera przecierz wie jakie roszerzneia sa interpretowane... jakby zrobil tak jak Ty proponujesz to by zwyklego pliku txt nie mogl wrzucic... a tak to wygklucza tylko te interpretowane przez php + konfiguracje servera apache

Kuziu Zobacz profil	18.04.2005, 11:41:33 Post #13
Grupa: Zarejestrowani Postów: 743 Pomógł: 0 Dołączył: 11.11.2003 Skąd: Toruń Ostrzeżenie: (0%)	Ale on chce mieć akceptowane tylko obrazki. a tak btw można sprawdzić MIME + rozszeżenie ... To samo sie tyczy wgrywania Execów

hwao Zobacz profil	18.04.2005, 11:51:27 Post #14
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	Cytat(Kuziu @ 2005-04-18 12:41:33) Ale on chce mieć akceptowane tylko obrazki. a tak btw można sprawdzić MIME + rozszeżenie ... To samo sie tyczy wgrywania Execów Mozna to zawsze przerobic na rozszerzenia tylko dopuszczane + mime type (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Mi sie wydawalo ze autor nie chce poprosu zeby ktos mu w php na mieszal wiec napisalem taki kod.

Tsiru Zobacz profil	18.04.2005, 11:53:44 Post #15
Grupa: Zarejestrowani Postów: 213 Pomógł: 0 Dołączył: 7.01.2005 Skąd: Nigdzie Ostrzeżenie: (0%)	Próbowałem sprawdzić typ mime (a tak bardziej to rozszerzenie), ale niewyszło (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) . ____________________ edit: A jak będe miał plik np. index.gif.php to przejdzie przez ten twój skrypt, HWAO ? Ten post edytował Tsiru 18.04.2005, 11:58:30

hwao Zobacz profil	18.04.2005, 12:20:27 Post #16
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	Cytat(Tsiru @ 2005-04-18 12:53:44) Próbowałem sprawdzić typ mime (a tak bardziej to rozszerzenie), ale niewyszło (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) . ____________________ edit: A jak będe miał plik np. index.gif.php to przejdzie przez ten twój skrypt, HWAO ? Moj skrypt sprawdz ostanie po kropce (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) wiec takie jak iest interpretowane przez php wiec powino byc wszytko ok. cost.lala.icos.php - lapie kocnowke czyli php (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Tsiru Zobacz profil	18.04.2005, 12:30:59 Post #17
Grupa: Zarejestrowani Postów: 213 Pomógł: 0 Dołączył: 7.01.2005 Skąd: Nigdzie Ostrzeżenie: (0%)	Super HWAO ! Jesteś Wielki ! PS. Dzięki Kuziu za pomysł z mime

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 15.09.2025 - 01:33

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn