Bezpieczny upload na serwer

Bezpieczny upload na serwer

johny-cage Zobacz profil	4.09.2007, 07:20:11 Post #1
Grupa: Zarejestrowani Postów: 42 Pomógł: 0 Dołączył: 15.05.2007 Ostrzeżenie: (0%)	Mam pytanie dotyczące bezpieczeństwa uploadu na serwer. Załózmy że na serwerze mam 2 skrytpy: laduj1.php i laduj2.php W skrypcie laduj1.php jest formularz z <input type=file> a w skrypcie laduj2.php jest [PHP] pobierz, plaintext <?php $plik1_tmp = $_FILES['plik1']['tmp_name']; $plik1_nazwa = $_FILES['plik1']['name']; $plik1_rozmiar = $_FILES['plik1']['size']; move_uploaded_file($plik1_tmp, "jakiskatalog/$plik1_nazwa"); ?> [PHP] pobierz, plaintext Oczywiście aby wykonać taką operację katalog do którego nagrywam musi mieć prawa dostępu ustawione na 777. Nasuwa się zatem pewna wątpliwość. Czy ktoś kto w jakiś sposób się dowie że istniej na moim dysku katalog o prawach dostępu do zapisu może napisać sobie skrypt na swoim serwerze i w ten sposób za pomocą skryptu ze swojego serwera nagrywać pliki na mój serwer?

Odpowiedzi

envp Zobacz profil	5.09.2007, 10:46:32 Post #2
Grupa: Zarejestrowani Postów: 359 Pomógł: 1 Dołączył: 16.04.2006 Skąd: Łódź Ostrzeżenie: (0%)	Jak patrze na te posty to aż mnie mieli - jedynie @devnull napisał coś sensownego. A więc tak - po pierwsze to większość serwerów nie pozwala "zaglądać do katalogów kolegów", jeśli jednak będzie tak się działo, że serwer będzie źle skonfigurowany to oczywiście na to nic jako user nie poradzisz, bo ktoś przez własny skrypt wrzuci do Ciebie do katalogu plik.php ze złośliwym kodem. Dalej warto sprawdzać mime type, a mod_rewrite ustawic tak, ze jakikolwiek plik z tego katalogu z rozszerzeniem, które dopuszacza apache do prasowania kierował na np index.php, trzecia sprawa - odnośnie złośliwego file inclusion i kodem wstrzyknietym w obrazek - wystarczy tylko przeparsowac obrazek przez gd... Pozdrawiam, kamil.

Posty w temacie

johny-cage Bezpieczny upload na serwer 4.09.2007, 07:20:11

tsharek Cytat(johny-cage @ 4.09.2007, 08:20... 4.09.2007, 07:24:45

johny-cage Założyłem oczywiście, że osoba która chciałaby mi ... 4.09.2007, 07:39:02

devnul a czemu katalogowi nadajesz 777? życie Ci nie miłe... 4.09.2007, 09:44:26

johny-cage To jest jakieś światło w tunelu. Czy mógłbyś mi po... 5.09.2007, 05:46:29

devnul rozumiem że system unixowy wiec szukaj o chmod, ch... 5.09.2007, 10:13:27

envp Jak patrze na te posty to aż mnie mieli - jedynie ... 5.09.2007, 10:46:32

johny-cage Czy ustawienie praw dostępu na 644 pomoże? Bo z te... 5.09.2007, 19:50:10

envp Nom, jesli wlascicielem bedzie apache... mozesz da... 5.09.2007, 20:45:45

johny-cage Czy można jakoś sprawdzić kto jest właścicielem? E... 6.09.2007, 05:45:56

devnul zmieniasz właściciela z poziomu shela poleceniem c... 6.09.2007, 08:44:35

johny-cage Ponieważ jestem nowicjuszem w tym temacie proszę o... 12.09.2007, 06:08:13

erix Jeśli masz taką możliwość, to trzymaj wysłane plik... 12.09.2007, 09:12:03

templar Cytat(johny-cage @ 4.09.2007, 08:20... 12.09.2007, 09:41:17

devnul @templar: za przeproszeniem pier... od rzeczy. nie... 12.09.2007, 11:01:00

johny-cage przy chmod 777 wszystko działa poprawnie (bo dlacz... 12.09.2007, 12:22:46

devnul fileowner" title="Zobacz w manualu PHP" target="_m... 12.09.2007, 16:15:54

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 27.12.2025 - 12:13

Hosting zapewnia

Forum PHP.pl