Upload plików na serwer.

Question

Witam.

Tworzę pewien serwis www i ma się w nim znaleźć m.in. możliwość uploadu oraz wyświetlania obrazów.

W jaki sposób zabezpieczyć się przed wysłaniem wysłaniem ścieżki w nazwie pliku tj., aby user nie mógł podać np. ./../../../../../../etc/passwd jako plik do odczytu / uploadu?

Answer 1

Tak trudno zapytać googla?

http://www.w3schools.com/php/php_file_upload.asp

jak chcesz zmienić ścieżkę to zmieniasz $target_dir

Comments

Dzięki. Szukałem w google, ale z jakiegoś powodu na tę stronę, ani na funkcję basename() nie trafiłem. 

---

Szkoda, że tematy są zamykane po jednej odpowiedzi i autor się już nimi nie interesuje…

Prawda jest ciut inna: w obrazach, w metadanych można przemycić kod PHP i jeśli serwer jest źle skonfigurowany, to i rozszerzenie jpg nas nie uchroni. Ostatnio ktoś powiedział mądrą rzecz:

Zacznijmy od tego że plików graficznych się nie wgrywa, tylko na ich podstawie konwertuje do odpowiedniego formatu.

za: http://forum.php.pl/index.php?showtopic=246203&view=findpost&p=1176055

I taka jest prawda. Nie wspominając już, że daje nam to większą kontrolę nad tym, co i komu pokazujemy. A nawet konwersja z JPG na JPG może znacząco podnieść bezpieczeństwo. 

---

@Comandeer To co mówisz jest bardzo ciekawe. Rzeczywiście widziałem przykłady ataków przez formaty plików, ale jakoś nie przyszło mi do głowy, że może to być problem.

Jeśli masz jeszcze coś ciekawego do napisania, to temat chętnie otworzę - zamknąłem, ponieważ otrzymałem odpowiedź na pytanie. 

---

Ogólnie przesłanie jest takie: nie można ufać temu, co serwuje user ;) Tego typu pliki najlepiej właśnie skonwertować samemu i dodatkowo można je posyłać z virtual hosta skonfigurowanego w taki sposób, żeby parser PHP i inne tego typu rzeczy na nim po prostu nie działały.