Bezpieczny upload na serwer

Bezpieczny upload na serwer

johny-cage Zobacz profil	4.09.2007, 07:20:11 Post #1
Grupa: Zarejestrowani Postów: 42 Pomógł: 0 Dołączył: 15.05.2007 Ostrzeżenie: (0%)	Mam pytanie dotyczące bezpieczeństwa uploadu na serwer. Załózmy że na serwerze mam 2 skrytpy: laduj1.php i laduj2.php W skrypcie laduj1.php jest formularz z <input type=file> a w skrypcie laduj2.php jest [PHP] pobierz, plaintext <?php $plik1_tmp = $_FILES['plik1']['tmp_name']; $plik1_nazwa = $_FILES['plik1']['name']; $plik1_rozmiar = $_FILES['plik1']['size']; move_uploaded_file($plik1_tmp, "jakiskatalog/$plik1_nazwa"); ?> [PHP] pobierz, plaintext Oczywiście aby wykonać taką operację katalog do którego nagrywam musi mieć prawa dostępu ustawione na 777. Nasuwa się zatem pewna wątpliwość. Czy ktoś kto w jakiś sposób się dowie że istniej na moim dysku katalog o prawach dostępu do zapisu może napisać sobie skrypt na swoim serwerze i w ten sposób za pomocą skryptu ze swojego serwera nagrywać pliki na mój serwer?

Odpowiedzi

johny-cage Zobacz profil	4.09.2007, 07:39:02 Post #2
Grupa: Zarejestrowani Postów: 42 Pomógł: 0 Dołączył: 15.05.2007 Ostrzeżenie: (0%)	Założyłem oczywiście, że osoba która chciałaby mi coś nagrać nie będzie korzystała z żadnego z moich plików ani żadnego inngego pliku znajdującego sie na moim serwerze Cytat(tsharek @ 4.09.2007, 08:24:45 ) dokładnie tak: są generalnie dwa sposoby walki z takimi atakami:- ukrywanie katalogu (np za pomocą htaccess) przed dostępem z zewnątrz- filtr na uploadowane pliki (na rozszerzenie, mime type pliku, itp) Ukrywanie? Znaczy po prostu, że potencjalny użytkownik nie wie o istnieniu katalogu jednak w przypadku zdobycia takiej wiedzy i tak może coś nagrać swojego?Druga metoda to rozbijanie nazwy pliku i sprawdzanie jego rozszerzenia? Jeśli plik nie jest plikiem o rozszerzeniu jpg to nie można nagrać, w innym wypadku tak? Jak to można zrobić? Choć to i tak liche zabezpieczenie.

Posty w temacie

johny-cage Bezpieczny upload na serwer 4.09.2007, 07:20:11

tsharek Cytat(johny-cage @ 4.09.2007, 08:20... 4.09.2007, 07:24:45

johny-cage Założyłem oczywiście, że osoba która chciałaby mi ... 4.09.2007, 07:39:02

devnul a czemu katalogowi nadajesz 777? życie Ci nie miłe... 4.09.2007, 09:44:26

johny-cage To jest jakieś światło w tunelu. Czy mógłbyś mi po... 5.09.2007, 05:46:29

devnul rozumiem że system unixowy wiec szukaj o chmod, ch... 5.09.2007, 10:13:27

envp Jak patrze na te posty to aż mnie mieli - jedynie ... 5.09.2007, 10:46:32

johny-cage Czy ustawienie praw dostępu na 644 pomoże? Bo z te... 5.09.2007, 19:50:10

envp Nom, jesli wlascicielem bedzie apache... mozesz da... 5.09.2007, 20:45:45

johny-cage Czy można jakoś sprawdzić kto jest właścicielem? E... 6.09.2007, 05:45:56

devnul zmieniasz właściciela z poziomu shela poleceniem c... 6.09.2007, 08:44:35

johny-cage Ponieważ jestem nowicjuszem w tym temacie proszę o... 12.09.2007, 06:08:13

erix Jeśli masz taką możliwość, to trzymaj wysłane plik... 12.09.2007, 09:12:03

templar Cytat(johny-cage @ 4.09.2007, 08:20... 12.09.2007, 09:41:17

devnul @templar: za przeproszeniem pier... od rzeczy. nie... 12.09.2007, 11:01:00

johny-cage przy chmod 777 wszystko działa poprawnie (bo dlacz... 12.09.2007, 12:22:46

devnul fileowner" title="Zobacz w manualu PHP" target="_m... 12.09.2007, 16:15:54

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 26.12.2025 - 00:04

Hosting zapewnia

Forum PHP.pl