Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] Załącznik wgrywany na serwer. Jakie rozszerzenia dopuszczać?, Czy ograniczać użytkownikom format ładowanych plików?
luis2luis
post
Post #1





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----

Witam.
Piszę mechanizm do wysyłania wiadomości pomiędzy poszczególnymi użytkownikami. Zalaczniki sa ladowane na serwer.

Czy mam w jakiś sposób ograniczać format ładowanych plików?
Czy folder do którego ładuje pliki musi mieć odpowiednie uprawnienia? tzn brak wykonania? Proszę o podpowiedź.

Chce za wszelką cenę uniknąć możliwość ataku na strone.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Pilsener
post
Post #2





Grupa: Zarejestrowani
Postów: 1 590
Pomógł: 185
Dołączył: 19.04.2006
Skąd: Gdańsk

Ostrzeżenie: (0%)
-----

Cytat
Problem jest, że ktoś mi uploaduje plik php i wykona sobie swój kod.

Jeśli jest taka możliwość, to problem leży w aplikacji/konfiguracji serwera a nie w pliku. Bezpieczeństwo nie powinno być zależne od pliku i ratowanie się sprawdzaniem jego zawartości czy rozszerzenia to co najwyżej doraźna proteza.
Plik wrzucasz po prostu na serwer a gdy użytkownik chce go pobrać to aplikacja go odczytuje i mu wysyła - nie widzę tu żadnego zagrożenia.
Natomiast widziałem wiele razy, jak plik był walidowany na 50 sposobów (co powodowało frustrację użytkowników bo zawsze jakiś plik nie przechodził walidacji) po czym wrzucany do .... publicznego katalogu! (IMG:style_emoticons/default/facepalmxd.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- luis2luis   [php] Załącznik wgrywany na serwer. Jakie rozszerzenia dopuszczać?   15.12.2016, 01:05:45
- - Niree   No tak. Plik, który tworzy kolejne pliki musi mieć...   15.12.2016, 05:40:19
|- - luis2luis   Cytat(Niree @ 15.12.2016, 05:40:19 ) ...   15.12.2016, 12:07:52
- - viking   A co mają chmody do tego? Plik żeby dało radę go w...   15.12.2016, 06:38:27
|- - luis2luis   Cytat(viking @ 15.12.2016, 06:38:27 )...   15.12.2016, 11:53:14
- - viking   Zależy od konfiguracji serwera. Jeśli np pracuje j...   15.12.2016, 12:05:15
- - viking   Sprawdzanie masz robić po content-type a nie rozsz...   15.12.2016, 12:11:59
- - Pyton_000   samo content-type też nie jest bezpieczne. Bo taki...   15.12.2016, 12:49:08
|- - luis2luis   Cytat(Pyton_000 @ 15.12.2016, 12:49:0...   15.12.2016, 13:40:06
- - viking   To tak na początek   15.12.2016, 12:52:19
- - Pilsener   CytatProblem jest, że ktoś mi uploaduje plik php i...   16.12.2016, 08:37:02
- - krzywy5830   Pisałem kiedyś taki upload plików, że użytkownik u...   16.12.2016, 19:38:17

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 4.10.2025 - 05:30
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn