[PHP] bezpieczny upload PDF, DOC i DOCX, na serwerze nie działa funkcja mime_content_type() Opcje

[grudziu]

Witam,

zapytanie: jak stworzyć bezpieczny upload dla internautów plików (tylko dokumenty) na serwer?

Chciałem to zrobić poprzez sprawdzenie rozszerzenia po kropce (czyli .pdf, .doc, .docx) , dalej po stronie przeglądarki ale niestety chyba Firefox pdf rozpoznaje jako application/ms-download czyli tak samo jak exe, a więc już po stronie przeglądarki nie ma co sprawdzać... w związku z tym chciałem oprzeć wszystko na sprawdzeniu typu MIME po stronie serwer'a, ale niestety funkcja mime_content_type() jest nieobsługiwana - i nie będzie... - przez serwer na którym wgram skrypt uploadu.

Zaczerpnięte z php.net

[PHP] pobierz, plaintext 
<?php
if (!function_exists('mime_content_type ')) {
	function mime_content_type($filename) {
		$finfo	= finfo_open(FILEINFO_MIME);
		$mimetype = finfo_file($finfo, $filename);
		finfo_close($finfo);
		return $mimetype;
	}
}
?>
[PHP] pobierz, plaintext 

Ten fragment również nie działa.


Jakieś pomysły?

[marcio]

Jesli chcesz sprawdzac po kropce to explode() a jak naglowki to ja mam tak:

[PHP] pobierz, plaintext 
<?php
$uploaded_file = $_FILES['up_file']['tmp_name'];
$roz = $_FILES['up_file']['type'];
$extension = array('image/jpg', 'image/jpeg', 'image/gif', 'image/png');
$info=getimagesize($uploaded_file);
$typ=$info['mime'];
$szerokosc=$info[0]; 
$wysokosc=$info[1];
$width = 130;
$height = 130;
$quality = 75;
 
if(@is_uploaded_file($uploaded_file)) {
 
 if(in_array($roz, $extension)) {
 
//etc....
?>
[PHP] pobierz, plaintext 

[grudziu]

Tylko że getimagesize odnosi się do obrazków, ja mam PDF, DOC i DOCX...

[marcio]

Ah no fakt zapomnialo mi sie no to pozostaje ci explode() albo klasa @Cysiaczek
http://forum.php.pl/index.php?showtopic=80...t=0&start=0

P.S

[PHP] pobierz, plaintext 
<?php
$roz = $_FILES['up_file']['type'];
?>
[PHP] pobierz, plaintext 

Tu masz typ uploadowanego pliku wiec wystarczy ze zmienisz naglowki na twoje i kod bedzie dzialal

[legorek]

Odnośnie:

$_FILES['costam']['type'];

to manual jasno mówi, że nie wolno temu ufać. Sprawdzanie rozszerzenie jest jeszcze gorszym sposobem.
Jeśli możesz użyj funkcji: finfo_file" title="Zobacz w manualu PHP" target="_manual

Jeśli nie, zobacz sobie komentarze do mime_content_type" title="Zobacz w manualu PHP" target="_manual tam znajdziesz kilka lepszych lub gorszych sposobów.

Lub zajrzyj tutaj

Prawa jest taka, że nigdy nie będziesz miał pewności, bo plik może mieć sfałszowany/uszkodzony nagłówek.

[marcio]

Chyba wiadomo ze mozna spoofowac naglowki za pomoca live http headers ale praktycznie nigdy nie dziala np u mnie nie

EDIT:
Zreszta w linku ktory podalem jest podane najlepsze rozwiazanie na ten problem dodatkowo jak chcesz mzoe sprawdzac naglowki ale po co?
ALbo jedno albo drugie

Ten post edytował marcio 9.06.2008, 12:46:17

[grudziu]

Odnośnie:

$_FILES['costam']['type'];

to manual jasno mówi, że nie wolno temu ufać. Sprawdzanie rozszerzenie jest jeszcze gorszym sposobem.
Jeśli możesz użyj funkcji: finfo_file" title="Zobacz w manualu PHP" target="_manual

Jeśli nie, zobacz sobie komentarze do mime_content_type" title="Zobacz w manualu PHP" target="_manual tam znajdziesz kilka lepszych lub gorszych sposobów.

Lub zajrzyj tutaj

Prawa jest taka, że nigdy nie będziesz miał pewności, bo plik może mieć sfałszowany/uszkodzony nagłówek.

mime_content_type i komentarze - przeczytałem, nie działa u mnie na serwerze tak jak finfo_file - również nie działa

Dzięki za link google, może coś w tym gąszczu uda się znaleźć.

[marcio]

Nie rozumiem co masz szukac podalem ci wyzej temat z rozwiazaniem wystarczy dac odpowiednie rozszerzenia i hula.....

[grudziu]

Nie rozumiem co masz szukac podalem ci wyzej temat z rozwiazaniem wystarczy dac odpowiednie rozszerzenia i hula.....

$_FILES [type] - ja wiem że to hula i ten sposób znałem ale to nie jest ani bezpieczne dodatkowo uzależnione od przeglądarki, a chociażby firefox sprawdza pdf'a jako application/ms-download i jest analogiczne z aplikacją exe.

W linku który podałeś z tego co ja rzuciłem okiem i poświęciłem dwie minuty to ktoś sie bawi w obiekty przy sprawdzaniu typu samego rozszerzenia (czyli po kropce co jest napisane, a nie typ pliku) mozna i tak ale to mi się nie podoba.

dzięki za odpowiedzi

[mike]

~grudziu tak czytam ten wątek i dochodzę do wniosku że powinieneś już wszystkie wiedzieć połowę postów temu.
Sprawa jest prosta, masz dwa wyjścia.
1. Korzystasz z narzędzi naprawdę sprawdzających typ pliku: MIME types, etc;
2. Sprawdzasz rozszerzenie.

Nie ma alternatywy bo nie wiem czy wiesz ale przeglądarki wysyłają MIME na podstawie rozszerzenia więc na jedno wychodzi.

[grudziu]

A jednak udało mi się znaleźć (własciwie to wymęczyłem to od supportu home.pl któremu dziękuję) rozwiązanie:

system("file -i $plik");