6
תגובות

העלאה מאובטחת.

פתח mtndiv ,
אשמח אם תסבירו לי איזה בדיקות אני צריך לעשות בשביל:
- לעלות תמונה(png,jpg,jpeg,gif,bmp) בצורה מאובטחת(גם shell, קבצי php, ווירוסים(אני יודע שזה לא php, אז אשמח להסבר לגבי זה))
- לעלות אובייקט פלאש(swf) בצורה מאובטחת(כנ"ל).

אשמח אם תענו לי באופן תיאורטי, ואם תוסיפו קוד/לינק שמסביר אפילו יותר טוב. תודה רבה :)

6 תשובות

avatar ענה mat ב 28 למאי 2013 #

הבעיה העקרונית שאם אתה מעלה את הקבצים ישר לתקיה שמשם אפשר להוריד.
ומישהו נגיד מעלה קובץ php אז אחרי זה הוא יוכל להפעיל את הקובץ דרך הדפדפן.

avatar ענה ldbrgr ב 28 למאי 2013 #

אז מכבים את PHP בנתיב, באפאצ'י זה הולך ככה:

RemoveHandler .php

(יש הרבה סיומות לחסום, לא רק .php**, בטוח יש דרך טובה יותר לעשות את זה^^ פשוט חפש בקוגל)
או שחוסמים גישה ישירה, ומעבירים את הקובץ עם PHP ומודים כמו XSendfile או X-accel

avatar ענה razand ב 28 למאי 2013 #

אתה יכול לקבל בעזרת $_FILES["file"]["type"] את סוג הקובץ ואז לבדוק אם זה קובץ שמותר לעלות או לא.
ובנוסף כדאי שתבדוק גם את הסיומת של הקובץ בעזרת explode

avatar ענה mtndiv ב 29 למאי 2013 #

אני הצלחתי להעלות קובץ php, למרות שהיו בדיקות של mime ושל getimagesize...
נ.ב, מה לגבי swf ?

avatar ענה OrelBeY ב 29 למאי 2013 #

במקרה של PHP זה שונה. זה פשוט קובץ טקסט פשוט, כשהגדרות השרת שלך קובעות איזה קבצים לפענח כ-PHP לפי הסיומת.