Usuwanie pliku przez użytkownika Opcje

[tosiek]

Witam. Mam prosty zamiar dać użytkownikowi możliwość usunięcia pliku.

Aktualnie zapisuję sobie:

[PHP] pobierz, plaintext 
<?php
$czas = time();
$nazwa = $czas . $_FILES['userfile']['name'];
file_put_contents(dirname(__FILE__) . "/../../../../wynikowe/" . $nazwa, $plik);
?>
[PHP] pobierz, plaintext 

No i podaję bezpośredni link do pobrania. I link do usunięcia który działa w ten sposób:

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['usun']))
{
unlink(dirname(__FILE__) . "/../../../../wynikowe/" . urldecode($_GET['usun']));
echo "plik usuniety";
}
echo '<a href="http://tosiek.pl/converter/?usun=' . urlencode($nazwa) . '">Usuń plik: ' . $_FILES['userfile']['name'] . '</a>';
?>
[PHP] pobierz, plaintext 

I teraz pytanie czy przez to unlink da się usunąć inne pliki, poza katalogiem wynikowe ? I jak to zabezpieczyć ?

[leovandamon]

pyro, jak już mówiłem, pisałem to x lat temu, kiedy zaczynałem z php. Wiem, że jest to bez sensu, bo można szybciej. Ale wykorzystuję przeważnie tryb "easy" i działa szybko. Mimo wszystko, dzięki. Unowocześnię kod.

tosiek, tak. User nie może wychodzić do katalogu wyżej, bo wtedy mógłby usunąć ci dowolny plik z serwera (powiedzmy index.php). Dajesz coś takiego:

[PHP] pobierz, plaintext 
<?php
$katalog = 'upload'; // katalog uploadu
if($_GET['usun']) {
 $usun = clear($_GET['usun']);
 $plik = $katalog.'/'.$usun;
 unlink($plik);
}
?>
[PHP] pobierz, plaintext 

Pisałem z palca.

User może wywalić Ci coś z katalogu upload, ale nie może wyjść wyżej. Pozostaje kwestia sprawdzania, czy user może usunąć plik, ale jeśli jako $katalog dasz katalog usera, w którym pliki należą do niego, to tylko te może usunąć. Możesz też sprawdzać w bazie MySQL lub na setki innych sposobów, decyzję pozostawiam Tobie.

Ten post edytował leovandamon 6.07.2009, 10:41:25