Komentarze do: Bezpieczny upload plików http://www.beldzio.com/bezpieczny-upload-plikow Bełdziowe spojrzenie na aplikacje internetowe Wed, 23 Nov 2011 11:05:26 +0000 hourly 1 http://wordpress.org/?v=3.1.1 Autor: Mar http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-889 Mar Tue, 13 Jul 2010 14:26:26 +0000 http://www.beldzio.com/?p=250#comment-889 Wszystko ok. Jednak skrypt perlowy nie pozwolił mi na upload innego typu pliku. Albo ja coś źle robię albo zabezpieczenia są w miarę dobre :) Mimo wszystko notka przydatna. Wszystko ok. Jednak skrypt perlowy nie pozwolił mi na upload innego typu pliku. Albo ja coś źle robię albo zabezpieczenia są w miarę dobre :) Mimo wszystko notka przydatna.

]]> Autor: Jurgu http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-885 Jurgu Mon, 21 Jun 2010 13:06:30 +0000 http://www.beldzio.com/?p=250#comment-885 rzut oszczepem przez kibel na czas: Jedno z rozwiązań jest dość zakręcone, mianowicie zastosowanie generatora skryptów php który tylko sugerowałby się skryptem wrzuconym przez użytkownika. Użytkownik wrzuca swój skrypt, Twoj parserogenerator analizuje go i na podstawie jego treści tworzy już zmoderowany skrypt. Rzecz w tym żeby w żaden sposób nie umożliwić przepuszczenia jakichkolwiek hacków. Twój skrypt używałby tylko sprawdzonych, dozwolonych funkcji, w sposób na jaki Ty zezwolisz. Każda dziwna, niezrozumiała, szkodliwa czy głupia instrukcja ze skryptu użytkownika zostanie pominięta. (niezłe brednie mogą wyjść, trzeba go odesłać userowi do sprawdzenia) Najpoważniejsza wada to kupa roboty, równie dobrze można opracować własny język skryptowy, chociaż jako końcowy użytkownik wolałbym chyba okrojone PHP. rzut oszczepem przez kibel na czas:

Jedno z rozwiązań jest dość zakręcone, mianowicie zastosowanie generatora skryptów php który tylko sugerowałby się skryptem wrzuconym przez użytkownika.
Użytkownik wrzuca swój skrypt, Twoj parserogenerator analizuje go i na podstawie jego treści tworzy już zmoderowany skrypt. Rzecz w tym żeby w żaden sposób nie umożliwić przepuszczenia jakichkolwiek hacków. Twój skrypt używałby tylko sprawdzonych, dozwolonych funkcji, w sposób na jaki Ty zezwolisz. Każda dziwna, niezrozumiała, szkodliwa czy głupia instrukcja ze skryptu użytkownika zostanie pominięta. (niezłe brednie mogą wyjść, trzeba go odesłać userowi do sprawdzenia)
Najpoważniejsza wada to kupa roboty, równie dobrze można opracować własny język skryptowy, chociaż jako końcowy użytkownik wolałbym chyba okrojone PHP.

]]> Autor: siechnice http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-882 siechnice Fri, 09 Apr 2010 15:26:32 +0000 http://www.beldzio.com/?p=250#comment-882 Tej podpowiedzi bezpiecznego uploadu wlaśnie szukałem. Tej podpowiedzi bezpiecznego uploadu wlaśnie szukałem.

]]> Autor: rzut oszczepem przez kibel na czas http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-611 rzut oszczepem przez kibel na czas Wed, 17 Jun 2009 07:05:13 +0000 http://www.beldzio.com/?p=250#comment-611 To chyba najprostszym rozwiązaniem będzie po prostu moderacja tych skryptów PHP pisanych przez użytkownika :-) To chyba najprostszym rozwiązaniem będzie po prostu moderacja tych skryptów PHP pisanych przez użytkownika :-)

]]> Autor: Michał Ławicki http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-606 Michał Ławicki Tue, 16 Jun 2009 16:53:23 +0000 http://www.beldzio.com/?p=250#comment-606 hmm jeśli chodzi o połączenie z bazą danych możesz pokombinować z konfigiem PHP i dyrektywą <code>disable_functions</code>, jeśli chodzi o dostęp do katalogów to podobnie trzebaby poszukać odpowiedniej dyrektywy w konfigu php / apache i porobić coś na kształt wirtualnych kont :) hmm jeśli chodzi o połączenie z bazą danych możesz pokombinować z konfigiem PHP i dyrektywą disable_functions, jeśli chodzi o dostęp do katalogów to podobnie trzebaby poszukać odpowiedniej dyrektywy w konfigu php / apache i porobić coś na kształt wirtualnych kont :)

]]> Autor: rzut oszczepem przez kibel na czas http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-605 rzut oszczepem przez kibel na czas Tue, 16 Jun 2009 15:43:18 +0000 http://www.beldzio.com/?p=250#comment-605 Cześć Bełdzio :-) Mam problem. Chciałbym umożliwić użytkownikowi mojej aplikacji internetowej wpisywanie skryptu PHP, który później będzie wykonany. Ale chciałbym, żeby użytkownik miał dostęp tylko do jednego folderu z poziomu tego skryptu i nie miał dostępu do bazy danych. Pierwsze nasuwające się rozwiązanie tego problemu jest takie, że po prostu sprawdzamy ten skrypt, czy nie ma tam jakichś funkcji wczytujących lub zapisujących coś do jakiegoś pliku, w którym nie wolno mu grzebać i czy w tym skrypcie nie ma nic o bazie danych. Czy jest jakieś lepsze rozwiązanie? Da się jakoś określić, jakie pliki i foldery dany plik PHP może otwierać, a jakie nie? Cześć Bełdzio :-)

Mam problem. Chciałbym umożliwić użytkownikowi mojej aplikacji internetowej wpisywanie skryptu PHP, który później będzie wykonany. Ale chciałbym, żeby użytkownik miał dostęp tylko do jednego folderu z poziomu tego skryptu i nie miał dostępu do bazy danych. Pierwsze nasuwające się rozwiązanie tego problemu jest takie, że po prostu sprawdzamy ten skrypt, czy nie ma tam jakichś funkcji wczytujących lub zapisujących coś do jakiegoś pliku, w którym nie wolno mu grzebać i czy w tym skrypcie nie ma nic o bazie danych. Czy jest jakieś lepsze rozwiązanie? Da się jakoś określić, jakie pliki i foldery dany plik PHP może otwierać, a jakie nie?

]]> Autor: bimas http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-592 bimas Thu, 11 Jun 2009 20:11:00 +0000 http://www.beldzio.com/?p=250#comment-592 Funkcja mime_content_type(), której zwracane dane zależne są od konfiguracji parsera PHP sprawdza typ MIME pliku ;) Funkcja mime_content_type(), której zwracane dane zależne są od konfiguracji parsera PHP sprawdza typ MIME pliku ;)

]]> Autor: Szymek http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-591 Szymek Thu, 11 Jun 2009 11:56:12 +0000 http://www.beldzio.com/?p=250#comment-591 Tutaj byłem i komentarzyk zostawiłem. Tutaj byłem i komentarzyk zostawiłem.

]]> Autor: Michał Ławicki http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-587 Michał Ławicki Tue, 09 Jun 2009 15:33:02 +0000 http://www.beldzio.com/?p=250#comment-587 też można :) sam z tego korzystam jako jednego z elementów uploadu :) też można :) sam z tego korzystam jako jednego z elementów uploadu :)

]]> Autor: Spawnm http://www.beldzio.com/bezpieczny-upload-plikow/comment-page-1#comment-586 Spawnm Tue, 09 Jun 2009 11:32:00 +0000 http://www.beldzio.com/?p=250#comment-586 a co powiesz aby przy uploadzie grafiki zamiast bawić się z move_uploaded_file dać GD2 ? robić kopię jak przy miniaturkach i dopiero kopię zapisywać. jeśli nie będzie obrazem nie zapisze . pozdrawiam, Spawnm a co powiesz aby przy uploadzie grafiki zamiast bawić się z move_uploaded_file dać GD2 ?
robić kopię jak przy miniaturkach i dopiero kopię zapisywać.
jeśli nie będzie obrazem nie zapisze .

pozdrawiam,

Spawnm

]]>