Usuwanie pliku przez użytkownika Opcje

[tosiek]

Witam. Mam prosty zamiar dać użytkownikowi możliwość usunięcia pliku.

Aktualnie zapisuję sobie:

[PHP] pobierz, plaintext 
<?php
$czas = time();
$nazwa = $czas . $_FILES['userfile']['name'];
file_put_contents(dirname(__FILE__) . "/../../../../wynikowe/" . $nazwa, $plik);
?>
[PHP] pobierz, plaintext 

No i podaję bezpośredni link do pobrania. I link do usunięcia który działa w ten sposób:

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['usun']))
{
unlink(dirname(__FILE__) . "/../../../../wynikowe/" . urldecode($_GET['usun']));
echo "plik usuniety";
}
echo '<a href="http://tosiek.pl/converter/?usun=' . urlencode($nazwa) . '">Usuń plik: ' . $_FILES['userfile']['name'] . '</a>';
?>
[PHP] pobierz, plaintext 

I teraz pytanie czy przez to unlink da się usunąć inne pliki, poza katalogiem wynikowe ? I jak to zabezpieczyć ?

[leovandamon]

Witam!

Napisałem kiedyś funkcyjkę... Może ci się przyda. Ja używam jej do czyszczenia zmiennej z nazwą includowanego pliku.

[PHP] pobierz, plaintext 
<?php
function clear($text,$mode='easy') {
    switch($mode) {
        case 'full' : // For filenames, etc. Very secure clearing
            $text = str_replace('~','',$text); $text = str_replace('!','',$text);
            $text = str_replace('`','',$text); $text = str_replace('@','',$text);
            $text = str_replace('#','',$text); $text = str_replace('(','',$text);
            $text = str_replace('$','',$text); $text = str_replace(')','',$text);
            $text = str_replace('%','',$text); $text = str_replace('_','',$text);
            $text = str_replace('^','',$text); $text = str_replace('-','',$text);
            $text = str_replace('&','',$text); $text = str_replace('+','',$text);
            $text = str_replace('*','',$text); $text = str_replace('=','',$text);
            $text = str_replace('{','',$text); $text = str_replace('|','',$text);
            $text = str_replace('}','',$text); $text = str_replace(':','',$text);
            $text = str_replace('[','',$text); $text = str_replace(';','',$text);
            $text = str_replace(']','',$text); $text = str_replace('"','',$text);
            $text = str_replace('','',$text); $text = str_replace('&#092;'','',$text);
            $text = str_replace('<','',$text); $text = str_replace('.','',$text);
            $text = str_replace(',','',$text); $text = str_replace('?','',$text);
            $text = str_replace('>','',$text); $text = str_replace('/','',$text);
            $text = str_replace('ą','a',$text); $text = str_replace('ł','l',$text);
            $text = str_replace('ć','c',$text); $text = str_replace('ń','n',$text);
            $text = str_replace('ę','e',$text); $text = str_replace('ó','o',$text);
            $text = str_replace('ś','s',$text); $text = str_replace('ż','z',$text);
            $text = str_replace('ź','z',$text); $text = str_replace('Ź','z',$text);
            $text = str_replace('Ą','A',$text); $text = str_replace('Ł','L',$text);
            $text = str_replace('Ć','C',$text); $text = str_replace('Ń','N',$text);
            $text = str_replace('Ę','E',$text); $text = str_replace('Ó','O',$text);
            $text = str_replace('Ś','S',$text); $text = str_replace('Ż','Z',$text);
            break;
        case 'normal' : // Normal clearing
            $text = str_replace('&','&',$text);
            $text = str_replace('=','=',$text); $text = str_replace('!','!',$text);
            $text = str_replace('`','`',$text); $text = str_replace('@','@',$text);
            $text = str_replace('#','#',$text); $text = str_replace('(','(',$text);
            $text = str_replace('$','$',$text); $text = str_replace(')',')',$text);
            $text = str_replace('%','&percent;',$text); $text = str_replace('_','_',$text);
            $text = str_replace('^','^',$text); $text = str_replace('-','-',$text);
            $text = str_replace('+','+',$text); $text = str_replace('~','~',$text);
            $text = str_replace('{','{',$text); $text = str_replace('|','|',$text);
            $text = str_replace('}','}',$text); $text = str_replace(':',':',$text);
            $text = str_replace('[','[',$text); $text = str_replace(';',';',$text);
            $text = str_replace(']',']',$text); $text = str_replace('"','"',$text);
            $text = str_replace('','&#092;',$text); $text = str_replace(''','´',$text);
            $text = str_replace('<','<',$text); $text = str_replace('.','.',$text);
            $text = str_replace(',',',',$text); $text = str_replace('?','?',$text);
            $text = str_replace('>','>',$text); $text = str_replace('/','⁄',$text);
            $text = str_replace('ą','a',$text); $text = str_replace('ł','l',$text);
            $text = str_replace('ć','c',$text); $text = str_replace('ń','n',$text);
            $text = str_replace('ę','e',$text); $text = str_replace('ó','o',$text);
            $text = str_replace('ś','s',$text); $text = str_replace('ż','z',$text);
            $text = str_replace('ź','z',$text); $text = str_replace('Ź','z',$text);
            $text = str_replace('Ą','A',$text); $text = str_replace('Ł','L',$text);
            $text = str_replace('Ć','C',$text); $text = str_replace('Ń','N',$text);
            $text = str_replace('Ę','E',$text); $text = str_replace('Ó','O',$text);
            $text = str_replace('Ś','S',$text); $text = str_replace('Ż','Z',$text);
            break;
        case 'easy' : // Base clearing
            $text = str_replace('','',$text); $text = str_replace('&#092;'','',$text);
            $text = str_replace('./','',$text);
            break;
        default : echo '<br />Fatal error: wrong param defined for function clear on line '.__LINE__.'<br />';
    }
    return $text;
}
?>
[PHP] pobierz, plaintext 

i użycie:

[PHP] pobierz, plaintext 
<?php
$nazwa = clear(urlencode($_GET['usun']));
?>
[PHP] pobierz, plaintext 

Możesz podać drugi parametr (easy, normal, full). Easy jest domyślnym i jest "akurat" do nazw plików. Normal zamienia większość znaków na encje HTML i do tego polskie znaki diakrytyczne na te bez "kropek" i "ogonków". Full całkiem usuwa wszystkie bardziej "niebezpieczne" znaki.

Na pewno możnaby to zrobić lepiej, jednak pisałem to parę lat temu. Mnie wystarcza.

Poza tym, niedawno pisałem "eksplorator", być może coś ci się przyda.

http://dragonsheart.eu/-/php/manager.txt

Część kodu to funkcje bezpośrednio to użycia w moim programie, więc nie zwracaj uwagi. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Pozdrawiam,
Leo van Damon