[PHP]Skrypt uploadu - blokowanie uploadowania innych plikow niz obrazki Opcje

[o2w5n778]

Witam!
Czy ktoś może wie co zrobic aby w tym skrypcie dało się uploadować tylko obrazki?

Kod:

[PHP] pobierz, plaintext 
<?
$site ="http://adres.pl/"; // adres strony na kocu pamitaj o /
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Dokument bez tytuu</title>
</head>
 
<body>
 
<?php
if ($_POST['dodaj']) {
 
$plik_nazwa = trim($_POST['plik_nazwa']);
$plik_tmp = $_FILES['foto']['tmp_name'];
$plik_nazwa = $_FILES['foto']['name'];
$ext = pathinfo($plik_nazwa, PATHINFO_EXTENSION);
$kodowanie = md5($_POST['plik_nazwa']);
$lacz = $kodowanie.$ext;
 
if(is_uploaded_file($plik_tmp)) {
     move_uploaded_file($plik_tmp, "../uploads/galeria/$lacz");
  echo "Plik: <strong>$plik_nazwa</strong> zosta przesany na serwer!<br>";
  print 'link dla forum: <input type="text" value="'.$site.''.$plik_nazwa.'" size="40" /><br>';
  print 'link dla przegldarki: <input type="text" value="'.$site.''.$plik_nazwa.'" size="40" /><br>';
    print 'kod dla html: <input type="text" value="<img src=&quot;'.$site.''.$plik_nazwa.'&quot; alt=&quot;aduje&quot; />" size="40" /><br>';
  /* Komenda Sprawdzajca Dziaanie Uploadu Zdjcia */
}
 
}
?>
 
<div id="okno">
<form enctype="multipart/form-data" action="index.php" method="POST" name="newad">
<div class="oknoDane">
<p class="oknoDanePotrzebne">Podaj Potrzebne Dane:</p>
<table><tr>
<td><table><tr>
<td>fotografia:</td><td><input type="file" name="foto" class="nazwy" /></td></tr></table></td>
</tr></table>
</div>
<div class="pagesPrzyciski">
<input type="submit" name="dodaj" class="pages" value="Dodaj" />
<input type="reset" class="pages" value="Resetuj" />
<input type="button" class="pages" onclick="java script:history.back();" name="wstecz" value="Wstecz" />
</div>
</form>
</div>
</body>
</html>
[PHP] pobierz, plaintext 

Ten post edytował o2w5n778 3.08.2010, 22:06:06

[lepmajster]

heh temat rzeka jak to mowia.
Jesli chcesz na prostej zasadzie to sprawdzasz rozszerzenie i typ MIME.
A jesli chcesz sie zabezpieczyc przed hakierami, to poszukaj sobie na tym forum, bo sporo bylo o tym pisane.

[o2w5n778]

nie moge tego znalezc ;/

[Johnas]

Dodaj do pliku z uploadem:

[PHP] pobierz, plaintext 
$odczyt = pathinfo($plik_tmp);
echo $odczyt['extension'].'<br />'; // to tylko, żeby zobaczyć jakie jest rozszerzenie
$ext = $odczyt['extension'];
 
if ($ext !="jpg" && $ext !="pjpeg" && $ext !="jpeg" && $ext !="gif")
{
$error = true;
$errorMsg .= 'Niedozwolone rozszerzenie pliku! Dozwolone pliki to: JPG lub GIF.<br />';
$errorMsg .= 'Nazwa Twojego pliku to: ' .$plik_nazwa. ', rozserzenie: ' .$ext. '<br />';
$file_upload="false";
}
[PHP] pobierz, plaintext 

A gdzie a być wyświetlany błąd:

[PHP] pobierz, plaintext 
if ($error == true)
{
echo $errorMsg . '<br />';
}
[PHP] pobierz, plaintext 

Polecam Bezpieczny Upload= Broszurka

Ten post edytował Jonek_1993 3.08.2010, 22:53:33

[o2w5n778]

albo ja to źle wstawiam albo to zły kod, to nic nie daje

[Pilsener]

Zapomnij o takim uploadzie, bo jakiś dzieciak albo bot w 5 minut Ci się włamie. Zasada jest prosta i jedyna: wrzucać pliki do bezpiecznego folderu (takiego, gdzie wpisanie folder/plik.jakis nic nie da pomimo poprawnej ścieżki).

A jak sprawić, by były tylko fotki?
1. Zapisujesz plik w bezpiecznym folderze
2. Sprawdzasz jego typ MIME, metod jest wiele, choćby imagickiem:

[PHP] pobierz, plaintext 
$picture = new Imagick('safe_folder/1234');
$extension = $picture->getimageformat();
[PHP] pobierz, plaintext 

albo przy pomocy "gołego" php:
http://pl.php.net/manual/pl/function.finfo-file.php
Albo przy pomocy biblioteki GD
3. Jeśli typ jest zgodny, to zapisujesz do bazy informację o nim, jeśli nie - plik kasujesz i siema
4. Przy downloadzie pobierasz plik z bezpiecznego folderu i wysyłasz jako obrazek (gif, jpg, png - info o tym pobierasz z bazy), nawet jeśli będzie to jakiś złośliwy kod wysyłając go w taki sposób:

[PHP] pobierz, plaintext 
        $img = file_get_contents($path);
        header('Content-Type: image/jpeg');
        echo $img;
[PHP] pobierz, plaintext 

- dzieciak może nam skoczyć

[Johnas]

Ja mam taki upload plików img. Nie dość że sprawdzam czy plik jest grafiką to zmieniam chmody na 600 automatycznie. Przeczytaj broszurkę co Ci podałem dwa posty wyżej to tam pisze jak jeszcze możesz upload zabezpieczyć plikiem .htaccess tak aby skrypt złośliwy był pokazywany jako text.

[PHP] pobierz, plaintext 
 
<h2>&raquo;YouPhoto-Dodaj zdjęcie</h2>
<div class="content">
 
 
<form class="form" action="upload.php" method="post" enctype="multipart/form-data" onsubmit="openProgressBar(); return true;">
 
<br>Dodaj zdjęcie:<br>
<p>
<input type="file" name="userfile" size="40">
</p>
 
<p class="submit2">
<input type="submit" name="submit" value="Submit">
</p>
</form> 
 
<?
if($_POST){
 
 
 
$uploaddir = 'img/';//katalog gdzie ma być wgrane zdjęcie chmod ustaw na 777
$rand=rand(100,999);
 
 
 
$uploadfile = $uploaddir.$rand.$_FILES['userfile']['name'];
$userfile =$_FILES['userfile']['name'];
$ext = substr( $userfile, strrpos( $userfile, '.' ) );
 
 
 
$mime = $_FILES[ 'userfile' ][ 'type'];
 
if( strpos( $mime, 'image/' ) === false )
   die( 'Wybrany plik nie jest obrazkiem.' );
 
 
if (move_uploaded_file($_FILES['userfile']['tmp_name'],$uploadfile)){
    chmod( $uploadfile, 0600 );
 
if( is_uploaded_file( $_FILES[ 'file' ][ 'tmp_name' ] ) )
 
 
 
print "Opis: <b>$opis</b><br>";
print "Lokalizacja: <b>$uploadfile</b><br>";
print "Twoje ID: <b>$id_usera</b><br>";
print "Numer dodany: <b>$rand</b><br></p>";
echo '<center> <strong>"'.$_FILES['userfile']['name'].'"</strong>Zdjęcie Zostało dodane poprawnie.';
 
 
}else {
print "<center><font color=red><strong>Coś jest nie tak, spróbuj ponownie!</font>";
 
}
}
 
 
?> 
[PHP] pobierz, plaintext 

[o2w5n778]

A jak zabezpieczyć ten mój skrypt?

[thek]

Poczytaj, pomyśl, spróbuj choć trochę sam zmienić. Forum w tym dziale to nie gotowce, ale wskazówki, podpowiedzi co zmienić lub poprawić. Ludzie dali Ci ich tyle, włącznie z kodami przykładowymi, że aż wstyd pytać się "jak mój zmienić?", bo to oznacza, że nawet nie chciało Ci się spróbować cokolwiek tknąć, tylko liczysz na gotowca. Nie bądź pasożytem