Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] Upload Obrazków - Bezpieczeństwo
Reptile ReX
post
Post #1





Grupa: Zarejestrowani
Postów: 119
Pomógł: 0
Dołączył: 19.01.2008

Ostrzeżenie: (0%)
-----

Chcę w moim serwisie zrobić możliwość dodania zdjęć do galerii i mam pewien plan na zabezpieczenia, czy to wystarczy ?
Prosiłbym o rady:

1. Sprawdzanie rozszerzenia.
2. Sprawdzanie MIME type Pliku
3. Sprawdzanie funkcją getimagesize czy otrzymałem tablicę
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 4)
darko
post
Post #2





Grupa: Zarejestrowani
Postów: 2 885
Pomógł: 463
Dołączył: 3.10.2009
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

Niestety nie ma skutecznej metody, która w 100% wyeliminowałaby ryzyko włamu na stronę/wyrządzenia szkód, a to, co wymieniłeś to tylko mniej lub bardziej skuteczne sposoby, aby zminimalizować to ryzyko.
Go to the top of the page
+Quote Post
Reptile ReX
post
Post #3





Grupa: Zarejestrowani
Postów: 119
Pomógł: 0
Dołączył: 19.01.2008

Ostrzeżenie: (0%)
-----

A masz może jakieś dodatkowe sposoby aby jeszcze bardziej zminimalizować to ryzyko ?
Go to the top of the page
+Quote Post
darko
post
Post #4





Grupa: Zarejestrowani
Postów: 2 885
Pomógł: 463
Dołączył: 3.10.2009
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

Sposobów jest cała masa, .htaccess, zmiana nazwy na losową, przeszukiwanie gifów, zapisywanie w wyodrębnionym katalogu, wywołanie polecenia file -bi itd., poczytaj
http://bachowski.pl/2009/05/zabezpieczenie...u-plikow-w-php/
http://www.beldzio.com/bezpieczny-upload-plikow
Go to the top of the page
+Quote Post
yevaud
post
Post #5





Grupa: Zarejestrowani
Postów: 471
Pomógł: 89
Dołączył: 29.07.2008
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

kolega wyzej chyba troche przesadzil z pesymizmem (IMG:style_emoticons/default/smile.gif)

generalnie sposoby mozna podzielic na pare grup:

1. sprawdzacz czy to co dostales to nie jest plik wykonywalny, na wszelkie sposoby
2. wrzucasz go do katalogu ktory nie pozwala na uruchamianie takich plikow ktore Ci nie pasuja, na wypadek gdybys sie pomylil w 1. (IMG:style_emoticons/default/winksmiley.jpg)
3. probojesz sprawic zeby osoba ktora wrzuca plik, nie wiedziala gdzie on jest/jak sie do niego odwolac, to na wypadek gdyby zawiodlo 1 i 2 (IMG:style_emoticons/default/smile.gif)
4. odcinasz calkiem dostep do tego katalogu, umozliwiajac go tylko swojemu skryptowi np. php ktory bedzie posredniczyl miedzy plikiem, a uzytkownikiem ktory chce go zobaczyc. To na wypadek gdyby zawiodlo 1-3 (IMG:style_emoticons/default/winksmiley.jpg)

Mozesz sie ograniczyc do jednej metody, albo zastosowac dowolne kombinacje lub wszystko (IMG:style_emoticons/default/winksmiley.jpg) Najbardziej skuteczne jest 4, ale tez najbardziej zasobozerne. W przypadku zrobienia 4, sila rzeczy 2 i 3 maja mniejszy sens
Skutecznosc order by asc to
3
2
1
4

wrzucanie plikow na oddzielny serwer, to rowniez odmiana 4

Ten post edytował yevaud 29.01.2011, 15:20:44
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 22.08.2025 - 13:52
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn