Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczny upload na serwer
johny-cage
post
Post #1





Grupa: Zarejestrowani
Postów: 42
Pomógł: 0
Dołączył: 15.05.2007

Ostrzeżenie: (0%)
-----

Mam pytanie dotyczące bezpieczeństwa uploadu na serwer. Załózmy że na serwerze mam 2 skrytpy: laduj1.php i laduj2.php
W skrypcie laduj1.php jest formularz z <input type=file> a w skrypcie laduj2.php jest

[PHP] pobierz, plaintext 
  1. <?php
  2. $plik1_tmp = $_FILES['plik1']['tmp_name'];
  3. $plik1_nazwa = $_FILES['plik1']['name'];
  4. $plik1_rozmiar = $_FILES['plik1']['size'];
  5.  
  6. move_uploaded_file($plik1_tmp, "jakiskatalog/$plik1_nazwa");
  7. ?>
[PHP] pobierz, plaintext


Oczywiście aby wykonać taką operację katalog do którego nagrywam musi mieć prawa dostępu ustawione na 777. Nasuwa się zatem pewna wątpliwość. Czy ktoś kto w jakiś sposób się dowie że istniej na moim dysku katalog o prawach dostępu do zapisu może napisać sobie skrypt na swoim serwerze i w ten sposób za pomocą skryptu ze swojego serwera nagrywać pliki na mój serwer?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
devnul
post
Post #2





Grupa: Zarejestrowani
Postów: 1 470
Pomógł: 75
Dołączył: 21.09.2005
Skąd: że znowu

Ostrzeżenie: (0%)
-----

a czemu katalogowi nadajesz 777? życie Ci nie miłe? wystarczy ustawić właściciela katalogu (lub grupę) na takiego samego jak właściciel procesu serwera www. Po wrzuceniu pliku powinieneś niezwłocznie ustawić mu prawa uniemożliwiające wykonywanie pliki (bo przecierz jest to operacja zbędna)
Go to the top of the page
+Quote Post

Posty w temacie
- johny-cage   Bezpieczny upload na serwer   4.09.2007, 07:20:11
- - tsharek   Cytat(johny-cage @ 4.09.2007, 08:20...   4.09.2007, 07:24:45
- - johny-cage   Założyłem oczywiście, że osoba która chciałaby mi ...   4.09.2007, 07:39:02
- - devnul   a czemu katalogowi nadajesz 777? życie Ci nie miłe...   4.09.2007, 09:44:26
- - johny-cage   To jest jakieś światło w tunelu. Czy mógłbyś mi po...   5.09.2007, 05:46:29
- - devnul   rozumiem że system unixowy wiec szukaj o chmod, ch...   5.09.2007, 10:13:27
- - envp   Jak patrze na te posty to aż mnie mieli - jedynie ...   5.09.2007, 10:46:32
- - johny-cage   Czy ustawienie praw dostępu na 644 pomoże? Bo z te...   5.09.2007, 19:50:10
- - envp   Nom, jesli wlascicielem bedzie apache... mozesz da...   5.09.2007, 20:45:45
- - johny-cage   Czy można jakoś sprawdzić kto jest właścicielem? E...   6.09.2007, 05:45:56
- - devnul   zmieniasz właściciela z poziomu shela poleceniem c...   6.09.2007, 08:44:35
- - johny-cage   Ponieważ jestem nowicjuszem w tym temacie proszę o...   12.09.2007, 06:08:13
- - erix   Jeśli masz taką możliwość, to trzymaj wysłane plik...   12.09.2007, 09:12:03
- - templar   Cytat(johny-cage @ 4.09.2007, 08:20...   12.09.2007, 09:41:17
- - devnul   @templar: za przeproszeniem pier... od rzeczy. nie...   12.09.2007, 11:01:00
- - johny-cage   przy chmod 777 wszystko działa poprawnie (bo dlacz...   12.09.2007, 12:22:46
- - devnul   fileowner" title="Zobacz w manualu PHP" target="_m...   12.09.2007, 16:15:54

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 4.10.2025 - 18:26
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn