[PHP] upload plików - bezpieczeństwo

[PHP] upload plików - bezpieczeństwo

grit Zobacz profil	30.10.2007, 06:59:28 Post #1
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 13.05.2004 Ostrzeżenie: (0%)	Witam, mam następujący problem. Jestem zmuszony zrobić upload plików do serwisu za pośrednictwem tradycyjnego formularza. Muszą to być pliki typu TXT, DOC, XLS, PPT i pliki graficzne. Problem polega na wg mnie dość dużym niebezpieczeństwie przechowywania takich plików. Pomijając już kwestię, ze ktoś może wgrać plik zawirusowany (tutaj wymiękam już na starcie (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) ) to ktoś może wrzucić plik o niebezpiecznej zawartości od strony funkcjonowania serwisu- na przykład skrypt PHP w pliku z rozszerzeniem TXT- a później go uruchomić O ile z plikami graficznymi w zasadzie nie ma problemu (sprawa często gesto opisywana na forum) to z innymi typami mam problem. Póki co jestem w stanie sprawdzić czy ktoś nie podmienił rozszerzenia pliku - np wrzucił plik tekstowy ze zmienionym rozszerzeniem JPG. Ale to nadal nie załatwia sprawy. Proszę, pomóżcie to jakoś rozwiązać. Właściwie to sam już nie jestem pewien jakie są niebezpieczeństwa (wydaje mi się, że jest ich dość dużo i że nie ze wszystkich zdaję sobie sprawę). Jeśli takowe są (np. czy można uruchomić skrypt PHP lub EXE lub jakiś inny na serwerze z pośrednictwem plików DOC, XLS, TXT lub PPT) to jak je wyeliminować? Ew. mogę zrezygnować z TXT, ale co z innymi typami? Zastanawiam się nad odczytywanie zawartości, np. za pośrednictwem funkcji file() tylko czego szukać? jakich treści? <??> ? czy tylko tego czy czegoś jeszcze. Będę wdzięczny za podpowiedzi w tej kwestii.

Odpowiedzi

grit Zobacz profil	30.10.2007, 18:48:02 Post #2
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 13.05.2004 Ostrzeżenie: (0%)	dzieki... "wlamywacz" (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) fajny nick - pasuje do mojego posta (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Patrząc od tej strony - ani DOC anid XLS ani PPT ani TXt nie jest wykonywalny na serwerze. Właściwie pliki graficzne też nie. Ale czy nie istnieje sposób by za pośrednictwem takiego pliku rozwalić serwer/serwis? Jeśli ktoś ściągnie plik do siebie i uruchomi to ja już umywam ręce ale do czasu gdy plik na serwerze... nerwy minerwy... Faktycznie uber-uploader jest dosc skomplikowany ale może być interesujący. Na obecnym etapie go odpuszcze bo nie mam czasu sie prze zniego przegryzać ale może wróce kiedyś... Wracając do tematu, poprosze o pomysły włamów i ew. ich zabezpieczeń.

Posty w temacie

grit [PHP] upload plików - bezpieczeństwo 30.10.2007, 06:59:28

wlamywacz Jeśli chodzi o txt nic się nie bój bo to jest niew... 30.10.2007, 17:54:25

grit dzieki... "wlamywacz" fajny nick - pasu... 30.10.2007, 18:48:02

wlamywacz Jeśli plik nie jest parsowany nie ma prawa nic się... 30.10.2007, 20:19:48

grit Mozesz mi krótko wyjaśnić na czym wg Ciebie polega... 30.10.2007, 22:08:53

wlamywacz Uber-upload jest napisany w PERLu i ma taki opcje ... 31.10.2007, 09:02:10

Dinth Zdaje się pliki Officowskie maja jakies naglowki. ... 31.10.2007, 09:08:43

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 8.10.2025 - 10:51

Hosting zapewnia

Forum PHP.pl