Zabezpieczenie przed PHP Opcje

[aras785]

Witam. Mam skrypt który podczas upload sprawdza czy w pliku znajduje się fraza PHP, Php, PhP itd. jesl tak to nie przejdzie. Jest jakieś inna możliwość uruchomienia skryptu php nie korzystając ze słów PHP? <? też nie przechodzi.

[Fifi209]

Zamiast bawić się w sprawdzanie to zmieniaj nazwę pliku na jakiś hash md5 zapisuj nową nazwę + oryginalną do bazy
A pliki czytaj przez skrypt
readfile + header

[aras785]

Nie chodzi o zabawę. Po prostu chcę się z ciekawości dowiedzieć czy intruz miałby szanse coś takiego wykonać

[Fifi209]

Ciężko powiedzieć, zależy od skryptu.
Jeżeli chcesz dowiedzieć się czegoś o zabezpieczeniach: o tutaj

[aras785]

Skrypt sprawdza czy we wrzucanym pliku jest Ciąg znaków PHP (pHp itd). Jeśli nie to wrzuca. Można wrzucić plik z rozszerzeniem .php i on zostanie otworzy i zinterpretowany normalnie (czyli php).

[mstraczkowski]

Przykładowo w JPG można umieścić komentarz z kodem PHP.
Jeżeli ktoś wczytuje pliki używając include (niestety są takie przypadki) to kod PHP może się wykonać.

Jeżeli używasz readfile lub file_get_contents z odpowiednimi nagłówkami nie powinno się nic stać.

Z reguły przy wgrywaniu plików sprawdza się następujące rzeczy:
* Rozszerzenie pliku
* Ew. typ mime (chociaż można go sfałszować)
* W przypadku obrazków często używa się funkcji z biblioteki GD getimagesize, zwróci ona false jeżeli plik nie jest obrazkiem (chociaż też istnieją na to sposoby)
* W przypadku wielu znanych formatów można sprawdzać tzw. magic numbers, czyli początkowe lub końcowe bajty pliku, np. każdy exe posiada na swoim początku "MZ" lub "ZM" (inicjały twórcy)
* Wgrywany plik powinien mieć zawsze zmienioną nazwę np hash z md5
* Usuwanie tagów php z treści pliku też jest pewnym sposobem na zabezpieczenie