Bezpieczny upload plików, przyjmowanie wybranych rozszerzeń Opcje

[ave]

Zamierzam prowadzić dla użytkowników możliwość uploadu plików na serwer, przy czym zalezy mi aby użytkownicy, niemogli wgrywać plików 'niebezpiecznych' np. skryptów php,i teraz pytanie jak najlepiej to zorganizowac
a) zrobić rozszerzeń dozwolonych jpg, bmp, mp3 itp...
b) wpis w .htaccessie ze jak plik ma inne rozszerzenie niz w/w to traktuje je jako text jest to mozliwe?
c) a+b;

Wydaje mi sie ze sam punkt a) wystarczy, jak sądzicie ?
moze jakie inne pomysły?

Ten post edytował ave 4.01.2006, 00:54:22

[dawijanii]

Moim zdaniem najlepiej nadaje się sandbox czyli uploand do katalogu z poza witryny albo z taką regułką.

.htaccess

/~pliki/ Miejsce składowania pliku

php_admin_flag engine Off

<Files ~ "^.*\.(gif|jpg|bmp|jpeg|jpeg)$">
    Order deny, allow
    Deny from all
</Files>

Dodatkowo odwołanie do katalogu poprzez skrypt z wyrażeniem regularnym który filtruje nazwy ^[A-Za-z0-9]\.(gif|jpg|bmp|jpeg|jpeg)$ to samo przy uploadzie pliku pozwoli w miare poczuć sie bezpiecznie na jakiś czas. Odwołanie do katalogu z danymi najlepiej zrobić poprzez mod_rewrite

[b]/sciagnij/[A-Za-z0-9]\.(gif|jpg|bmp|jpeg|jpeg)[b] sciezka do uploadu plików

Rewriterule ([A-Za-z0-9]\.(gif|jpg|bmp|jpeg|jpeg)) sciegnij.php5?s=$1

is_uploaded_file

Dużo niedoróbek ale chyba sobie poradzisz (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował dawijanii 4.01.2006, 10:32:04