[PHP]Upload plików Opcje

[djpiatek]

Witam

Piszę stronę uploadu plików i oczywiście pobierania z niej plików i myślę aktualnie nad zabezpieczeniami. Na tą chwilę mam stworzony plik .htaccess:

[PHP] pobierz, plaintext 
Options -Indexes
Options -ExecCGI 
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi
[PHP] pobierz, plaintext 

uploadować można wszystkie rozszerzenia - co proponujecie użyć aby było bezpiecznie ?

Ten post edytował djpiatek 27.09.2010, 00:06:29

[kiler129]

Najbezpieczniejszą opcją jest aby katalog z plikami leżał w drzewie o jeden stopień płycej niż htdocs. Wtedy nie dając userom bezpośredniego URL do plików mało, że możesz kontrolować 100% ich pobieranie to na dokładkę masz z głowy wszystkie skrypty.
Nie ma róży bez kolców - musisz napisać odpowiednio skrypt do downloadu.

p.s. Jeśli już zabezpieczasz htaccesem to nie rób dziwnych kombinacji jak wyłączanie cgi a następnie aktywowanie handlera cgi dla odpowiednich plików.
Może to spowodować w najlepszym wypadku HTTP/500 a w najgorszym aktywowanie cgi-exec (bo opcja addhandler może nadpisac -Exec* w niektórych konfiguracjach) co spowoduje wykonanie kodu.
Bezpieczniej jest dać je w odwrotnej kolejności chociaż to też nie daje 100% pewności.
Najlepsze byłoby serwowanie plików z osobnej subdomeny będącej vhostem nie posiadającym żadnego interpretera (czy to php czy cgi).
Możesz też użyć tricku służącego mi zanim nauczyłem się sposobu z drzewem lub z vhostem:

Kod

AddType text/html .php

Ten post edytował kiler129 27.09.2010, 01:49:02

[piotr94]

ja polecam ten katalog o poziom wyżej niż htdocs, u mnie się sprawdza takie rozwiązanie.
przeczytaj też:
http://forum.php.pl/index.php?showtopic=135788&hl=

[djpiatek]

Odpowiedni skrypt do downloadu co powinien zawierać ? myślałem nad

[PHP] pobierz, plaintext 
header('Content-Disposition: attachment; filename=' . $nazwa);
[PHP] pobierz, plaintext 

[piotr94]

powinien zawierać cały szereg różnych funkcji, to co pokazałeś jak najbardziej tak,
przeczytaj dokładnie wszystko z linka, który CI podałem:
http://us2.php.net/manual/en/function.readfile.php

[PHP] pobierz, plaintext 
<?php
$file = 'monkey.gif';
 
if (file_exists($file)) {
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename='.basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));
    ob_clean();
    flush();
    readfile($file);
    exit;
}
?>
 
[PHP] pobierz, plaintext 

uwżaj tylko na zapytania z ../ i innymi tego typu rzeczami. Najlepiej pliki indeksuj w db, do skryptu przekazuj tylko ID i potem cała reszta.