Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Upload zdjęć.
moto0095
post
Post #1





Grupa: Zarejestrowani
Postów: 247
Pomógł: 9
Dołączył: 12.03.2010

Ostrzeżenie: (0%)
-----

Witam ponownie.
Mam takie pytanie czy ten skrypt jest bezpieczny?? 
[PHP] pobierz, plaintext 
  1. <?
  2.   $plik_tmp = $HTTP_POST_FILES['plik']['tmp_name'];
  3.   $plik_name = $HTTP_POST_FILES['plik']['name'];
  4.   $plik_size = $HTTP_POST_FILES['plik']['size'];
  5.   $plik_type = $HTTP_POST_FILES['plik']['type'];
  6.   $wih = getimagesize ($plik_tmp);
  7.  
  8.   if  ($wih[0] < 1||$wih[1] < 1){
  9.   echo"Plik nie jest zdjęciem.";
  10.   exit;
  11.   }
  12.                     }
  13.   if(empty($plik_tmp) and empty($plik_name) and empty($plik_size) and empty($plik_type)){
  14.     echo"Nieprawidłowy plik";
  15.     exit;
  16.   }
  17.  
  18.   if($plik_size > 2000000){
  19.     echo"Plik za duży. Tylko pliki do 2MB.";
  20.     exit;
  21.   }
  22.  
  23.   if($plik_type != "image/jpg"){
  24.     echo"Zły rodzaj pliku.";
  25.     exit;
  26.   }
  27.  
  28.   if(is_uploaded_file($plik_tmp)) {
  29.      move_uploaded_file($plik_tmp, "upload/$plik_name");
  30.     echo "Plik: <strong>$plik_name</strong> o rozmiarze
  31.     <strong>$plik_size bajtów</strong> został przesłany na serwer!";
  32.   }else{
  33.     echo"Błąd.";
  34.     exit;
  35.   }
  36. ?>
  37.  
  38. <form enctype="multipart/form-data" action="?dodaj" method="POST">
  39. <input type="file" name="plik">
  40. <input type="submit" value="Wyślij">
  41. </form>
[PHP] pobierz, plaintext


Ten post edytował moto0095 6.04.2010, 21:33:54
Go to the top of the page
+Quote Post
Neo
post
Post #2





Grupa: Zarejestrowani
Postów: 43
Pomógł: 9
Dołączył: 8.08.2009
Skąd: Olsztyn

Ostrzeżenie: (0%)
-----

Nie, gdyż można sfałszować "image/jpg" i wrzucić plik .php, phtml itp.

[PHP] pobierz, plaintext 
  1. move_uploaded_file($plik_tmp, "upload/$plik_name");
[PHP] pobierz, plaintext

Użyj losowego ciągu dla nazw plików np md5(microtime(1)).'.jpg';
Go to the top of the page
+Quote Post
moto0095
post
Post #3





Grupa: Zarejestrowani
Postów: 247
Pomógł: 9
Dołączył: 12.03.2010

Ostrzeżenie: (0%)
-----

No ale przecież skrypt sprawdza wymiary pliku.
Go to the top of the page
+Quote Post
tehaha
post
Post #4





Grupa: Zarejestrowani
Postów: 1 748
Pomógł: 388
Dołączył: 21.08.2009
Skąd: Gdynia

Ostrzeżenie: (0%)
-----

wytknięcie błędów w pojedynczym skrypcie nic Ci nie da, jeżeli chcesz tworzyć bezpieczne skrypty musisz zrozumieć co może taki użytkownik zrobić, dlatego zanim stworzysz skrypt gugluj trochę i poczytaj np.
http://php.about.com/od/advancedphp/qt/upload_security.htm
http://www.mysql-apache-php.com/fileupload-security.htm
http://www.netlobo.com/php_file_upload_security.html
http://www.acunetix.com/websitesecurity/up...orms-threat.htm
Go to the top of the page
+Quote Post
moto0095
post
Post #5





Grupa: Zarejestrowani
Postów: 247
Pomógł: 9
Dołączył: 12.03.2010

Ostrzeżenie: (0%)
-----

Ale ja pytałem się tylko czy ten skrypt jest bezpieczny (IMG:style_emoticons/default/questionmark.gif)
Go to the top of the page
+Quote Post
Spawnm
post
Post #6





Grupa: Moderatorzy
Postów: 4 069
Pomógł: 497
Dołączył: 11.05.2007
Skąd: Warszawa
A Neo odpisał że nie...
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 20.12.2025 - 23:22
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn