 Zabezpieczenie przed PHP |
| Zabezpieczenie przed PHP |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 859 Pomógł: 177 Dołączył: 29.10.2009 Ostrzeżenie: (0%) 
 |
Witam. Mam skrypt który podczas upload sprawdza czy w pliku znajduje się fraza PHP, Php, PhP itd. jesl tak to nie przejdzie. Jest jakieś inna możliwość uruchomienia skryptu php nie korzystając ze słów PHP? <? też nie przechodzi.
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 273 Pomógł: 52 Dołączył: 3.02.2013 Skąd: Przemyśl Ostrzeżenie: (0%)
|
Przykładowo w JPG można umieścić komentarz z kodem PHP.
Jeżeli ktoś wczytuje pliki używając include (niestety są takie przypadki) to kod PHP może się wykonać. Jeżeli używasz readfile lub file_get_contents z odpowiednimi nagłówkami nie powinno się nic stać. Z reguły przy wgrywaniu plików sprawdza się następujące rzeczy: * Rozszerzenie pliku * Ew. typ mime (chociaż można go sfałszować) * W przypadku obrazków często używa się funkcji z biblioteki GD getimagesize, zwróci ona false jeżeli plik nie jest obrazkiem (chociaż też istnieją na to sposoby) * W przypadku wielu znanych formatów można sprawdzać tzw. magic numbers, czyli początkowe lub końcowe bajty pliku, np. każdy exe posiada na swoim początku "MZ" lub "ZM" (inicjały twórcy) * Wgrywany plik powinien mieć zawsze zmienioną nazwę np hash z md5 * Usuwanie tagów php z treści pliku też jest pewnym sposobem na zabezpieczenie |
|
|
|
aras785 Zabezpieczenie przed PHP 14.03.2013, 11:30:46 
Fifi209 Zamiast bawić się w sprawdzanie to zmieniaj nazwę ... 14.03.2013, 11:49:01 aras785 Nie chodzi o zabawę. Po prostu chcę się z ciekawoś... 14.03.2013, 11:53:57 Fifi209 Ciężko powiedzieć, zależy od skryptu.
Jeżeli chces... 14.03.2013, 11:59:03 aras785 Skrypt sprawdza czy we wrzucanym pliku jest Ciąg z... 14.03.2013, 13:05:55  |
|
Aktualny czas: 8.10.2025 - 01:47 |
