[PHP] Bezpieczeństwo uploadu

[PHP] Bezpieczeństwo uploadu, Sprawdźcie mój kod, żadko kożystam z uploadu... :)

Babcia@Stefa Zobacz profil	29.02.2008, 17:00:11 Post #1
Grupa: Zarejestrowani Postów: 654 Pomógł: 17 Dołączył: 19.03.2006 Skąd: z kosmosu ;) Ostrzeżenie: (0%)	Witam, mam taki kod: [PHP] pobierz, plaintext <?php $sql = mysql_query('SELECT id FROM tools_scripts ORDER BY id DESC LIMIT 0,1'); $array = mysql_fetch_assoc($sql); $codeid = $array['id']+1; if(ereg('[A-Za-z0-9]{5,40}', $_POST['ftext'])) { if($_FILES['codefile']['size'] < 5001) { $pathinfo = pathinfo($_FILES['codefile']['name']); if(in_array(strtolower($pathinfo['extension']), $allowed_extensions)) { if(is_uploaded_file($_FILES['codefile']['tmp_name'])) { @mysql_query('INSERT INTO `tools_scripts` (`id`, `name`, `desc`, `uploader`, `file`, `date`, `category`, `views`) VALUES (NULL, '' .mysql_escape_string($_POST['ftext']). '', 'Brak opisu', '' .mysql_escape_string($_SESSION['sv']['logged']). '', '' .mysql_escape_string($pathinfo['filename'].$pathinfo['extension']). '', NOW(), '' .mysql_escape_string($pathinfo['extension']). '', '0')'); $moved = move_uploaded_file($_FILES['codefile']['tmp_name'], 'scripts/' .$codeid. '.ot'); if ($moved) echo '<center>Skrypt został pomyślnie załadowany.</center>'; else echo '<center>Nie można załadować skryptu. (Nieznany błąd po stronie serwera) ' .$moved. '</center>'; } else echo '<center>Hakować to możesz swoją babcie.</center>'; } else echo '<center>Nie prawidłowe rozszeżenie pliku!</center>'; } else echo '<center>Plik przekracza 5kb</center>'; } else echo '<center>Nie poprawna nazwa wyświetlana! ([a-z 0-9] 5 - 15 znaków)</center>'; ?> [PHP] pobierz, plaintext Z uploadu bardzo żadko kożystam, więc się pytam Was czy ten kod jest bezpieczny Dziękuję, Babcia@Stefa -------------------- Środowisko testowe (desktop) - Gedit, lighttpd, sftp, rsync, xfce4-terminal, chromium, firefox4 \| System: Gentoo ~x86 O'Neill - serwer WWW @ lighttpd, links, nano, rsyncd, sftpd \| System: Debian