[PHP] Sprawdzanie rozszerzenia Opcje

[Turson]

Już nie wiem, czemu żadne sprawdzanie rozszerzenia pliku nie działa.

[PHP] pobierz, plaintext 
<form enctype='multipart/form-data' action='upload.php' accept='image/jpeg,image/gif' method='POST'> 
[PHP] pobierz, plaintext 

To nie działa..

[PHP] pobierz, plaintext 
$allowed = array('gif', 'jpg', 'ico', 'bmp', 'jpeg', 'png');
 
 
// sprawdzamy rozszerzenie
if(in_array(strtolower($sp[1]), $allowed)) {
[PHP] pobierz, plaintext 

To działa, ale jak plik będzie się nazywał xxxx.jpg.php to wrzuca.

[darko]

Sprawdzaj typ mime przesłanego pliku (czy $_FILES['NAZWA']['type'] zawiera ciąg: 'images/'), dodatkowo - jeśli chcesz ograniczyć typy przesyłanych plików np. tylko do obrazków - możesz posłużyć się funkcją getimagesize. Ale i tak nigdy nie będzie pewności, ponieważ można te wszystkie zabiegi ominąć przy odpowiednim nakładzie pracy.

Ten post edytował darko 14.03.2010, 13:31:28

[marlic]

Podstawowe pytanie gdzie chcesz sprawdzać to rozszerzenie, po stronie klienta czy po stronie serwera?

[HTML] pobierz, plaintext 
<form enctype='multipart/form-data' action='upload.php' accept='image/jpeg,image/gif' method='POST'> 
[HTML] pobierz, plaintext 

accept w tym przypadku mówi przeglądarce jakie typy plików powinny być wysyłane na serwer i dobra przeglądarka internetowa na podstawie tej informacji powinna umożliwić wybór z lokalnego systemu tylko pliki o takim MIME

natomiast:

[PHP] pobierz, plaintext 
$allowed = array('gif', 'jpg', 'ico', 'bmp', 'jpeg', 'png');
// sprawdzamy rozszerzenie
if(in_array(strtolower($sp[1]), $allowed)) { ...
[PHP] pobierz, plaintext 

to chyba jakieś delikatne nieporozumienie, niby co ma robić ten kod?

[darko]

natomiast:

[PHP] pobierz, plaintext 
$allowed = array('gif', 'jpg', 'ico', 'bmp', 'jpeg', 'png');
// sprawdzamy rozszerzenie
if(in_array(strtolower($sp[1]), $allowed)) { ...
[PHP] pobierz, plaintext 

to chyba jakieś delikatne nieporozumienie, niby co ma robić ten kod?

Sprawdzać czy rozszerzenie pliku, które znajduje się w $sp[1] jest w tablicy dozwolonych rozszerzeń (IMG:style_emoticons/default/winksmiley.jpg) Ale właśnie TursoN wyprintuj sobie zawartość $sp[1] i upewnij się czy na pewno tam znajduje się rozszerzenie przesłanego pliku.

[widmo17]

Sprawdzanie mime, jak już gdzieś pisałem, to bardzo słaba opcja : d Najlepiej explode wg kropek po nazwie pliku, i odwołanie się do ostatniego elementu tablicy, którą zwróci owa funkcja

[thek]

Widmo... A żeś strzelił (IMG:style_emoticons/default/biggrin.gif) poducha.exe.jpg (IMG:style_emoticons/default/winksmiley.jpg) I właśnie na Twoim serwerze znajdować się może trojan bo byłeś idiotą i sprawdzałeś tylko ostatni element wpisany by zmylić. To jest jeszcze banalniejsze do zrobienia niż podmiana MIME, bo może to zrobić każdy zmieniając po prostu nazwę pliku. Poziom zabezpieczeń masz w tym momencie do obejścia przez kilkulatka (IMG:style_emoticons/default/winksmiley.jpg)

[Kshyhoo]

I się zaczyna, nikt nie pisze konkretów, tylko robi polewę. A taki kod lepszy:?

[PHP] pobierz, plaintext 
$sp = explode(".",$plik);
$c_sp = count($sp) - 1;
if ( $sp[$c_sp] == "gif" 
	or $sp[$c_sp] == "jpg"
	or $sp[$c_sp] == "jpeg"
	or $sp[$c_sp] == "png"
	or $sp[$c_sp] == "rar"
	or $sp[$c_sp] == "zip"
	or $sp[$c_sp] == "pdf"
	or $sp[$c_sp] == "psd" ) {
	echo 'dobre';
} else {
	echo 'złe';
}
[PHP] pobierz, plaintext 

Choć na tablicy jeszcze lepiej...

Ten post edytował Kshyhoo 14.03.2010, 18:52:49

[mike]

A taki kod lepszy:?

Znacząco gorszy.

[PHP] pobierz, plaintext 
<?php
 
$allowedExtensions = array('jpg', 'e.t.c.');
$extension = end(explode('.', $file));
if (in_array($extension, $allowedExtensions)) {
    // dobrze
} else {
    // źle
}
 
?>
[PHP] pobierz, plaintext 

[widmo17]

thek: trojan w jpgu? Nie szkodzi (IMG:style_emoticons/default/snitch.gif) Ciekawe jak ktoś mi go odpali na serwerze (IMG:style_emoticons/default/biggrin.gif)

[Kshyhoo]

Znacząco gorszy.

A jak w nazwie będzie więcej kropek zadziała?

[mike]

A jak w nazwie będzie więcej kropek zadziała?

To czy plik ma kropki czy nie to bez znaczenia, gorzej z rozszerzeniem.
Zadziała dla rozszerzeń bez kropek. Czyli dla .tar.gz będzie problem.

[Turson]

Znacząco gorszy.

[PHP] pobierz, plaintext 
<?php
 
$allowedExtensions = array('jpg', 'e.t.c.');
$extension = end(explode('.', $file));
if (in_array($extension, $allowedExtensions)) {
    // dobrze
} else {
    // źle
}
 
?>
[PHP] pobierz, plaintext 

Czyli ten jest bezpieczniejszy?

[mike]

Czyli ten jest bezpieczniejszy?

No pomyśl trochę. Czy jeden kod, który sprawdza rozszerzenie jest bezpieczniejszy od drugiego, który również sprawdza rozszerzenie?
Raczej nie. Chodzi o wygodę i względnie lepszy kod.

Jeśli interesuje Cię bezpieczeństwo to podejście do typu pliku powinno byc takie, że najpierw wstępnie weryfikujesz rozszerzenie a później sprawdzasz MIME.

[Turson]

Bezpieczniejszy pod względem, że nie przepuszcza plików, które w nazwie jedynie mają .jpg, np. plik.jpg.php

[erix]

Nie szkodzi Ciekawe jak ktoś mi go odpali na serwerze

Normalnie. Wystarczy np. używać zbugowanych skryptów podatnych na LFI/RFI. W EXIF-ach dla JPEG można osadzać komentarze. I bez problemu także kod PHP. Binarna sieczka przed listingiem zostanie zignorowana, a kod backdoora zostanie wykonany.

Więc NAPRAWDĘ pewny upload =

• sprawdzenie MIME po stronie SERWERA (ta zawarta w $_FILES pochodzi od przeglądarki; da się ominąć). Jak? Rozszerzenie mime_magic albo odpalenie polecenia file -bi plik i pobranie właściwego typu
• przeszukanie pliku pod kątem kodu PHP
• trzymanie plików poza katalogiem publicznym bądź kompletne wyłączenie interpretera w konkretnym katalogu

Dlaczego tak radykalnie? Pewnie ktoś pomyśli, że to na pewno się nie wydarzy? Niestety, miałem kiedyś coś takiego w skrypcie SMF (pisałem kiedyś na forum wątek na ten temat), w katalogu skryptu zaroiło się od trojanów w PHP, które prawdopodobnie miały za zadanie powysyłać trochę spamu i zainfekować inne serwery. Load - oczywiście - wzrósł.

A sprawdzanie rozszerzenia można kompletnie olać. (IMG:style_emoticons/default/winksmiley.jpg)

[lobopol]

[PHP] pobierz, plaintext 
$permittedFiles = array("jpg","png","gif","jpeg","doc","docx","txt","xls", "xlsx", "pdf");
$ext = strtolower(substr($_FILES['Filedata']['name'],strrpos($_FILES['Filedata']['name'],'.')+1));
                if(in_array($ext,$permittedFiles)){
                    move_uploaded_file($tempFile,$targetFile);
                }else die("Niedozwolony format pliku");
[PHP] pobierz, plaintext 

na podobnej zasadzie można mime sprawdzać

Ten post edytował lobopol 14.03.2010, 22:41:46

[erix]

A przeczytałeś mojego posta? (IMG:style_emoticons/default/winksmiley.jpg)

[darko]

~erix
1. Czy jest jakaś równie dobra alternatywa dla mime_magic?
2. W jaki sposób można wyłączyć interpreter php w konkretnym katalogu?

[widmo17]

zbugowanych skryptów podatnych na LFI/RFI

Tej opcji nie brałem pod uwagę, takie błędy raczej rzadko się zdarzają myślącym programistom (IMG:style_emoticons/default/snitch.gif)

[erix]

1. Czy jest jakaś równie dobra alternatywa dla mime_magic?

Jak napisałem - odpalenie polecenia systemowego file -bi plik i analiza zwróconej zawartości (konkretnie zwraca MIME).

2. W jaki sposób można wyłączyć interpreter php w konkretnym katalogu?

Zależy od serwera. Ale na 90% wystarczy w htaccess http://httpd.apache.org/docs/1.3/mod/mod_m...l#removehandler dla MIME odpowiadającemu interpreterowi.

Tej opcji nie brałem pod uwagę, takie błędy raczej rzadko się zdarzają myślącym programistom

Jeśli chodzi o zabezpieczenia, to skromność zawsze popłaca. (IMG:style_emoticons/default/winksmiley.jpg) Poza tym, rzadko a nigdy, to jak pomyłka u sapera. (IMG:style_emoticons/default/winksmiley.jpg) Pomyli się tylko raz. (IMG:style_emoticons/default/winksmiley.jpg)