Questo sito utilizza cookies, anche di terze parti, per mostrare pubblicità e servizi in linea con il tuo account. Leggi l'informativa sui cookies.
Username: Password: oppure
PHP - Domanda sicurezza in php
Forum - PHP - Domanda sicurezza in php

Pagine: [ 1 2 3 4 ] Precedente | Prossimo
Avatar
xander (Ex-Member)
Rookie


Messaggi: 27
Iscritto: 13/04/2006

Segnala al moderatore
Postato alle 15:15
Domenica, 17/06/2007
Salve a tutti !
Io ho realizzato uno script collegato al forum phpbb che ti permette di uppare dei file cioè se tu sei registrato al forum puoi inviare il file altrimenti no.
Solamente che ognuno può inserire l'estensione che vuole ad esempio se uno uppa un file .php appena preme su scarica si apre il file php senza che venga scaricato.
Secondo vuoi questo può essere pericoloso ?????

PM Quote
Avatar
WARRIOR (Ex-Member)
Guru


Messaggi: 627
Iscritto: 30/03/2007

Segnala al moderatore
Postato alle 16:30
Domenica, 17/06/2007
Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script..se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo, non penso ci siano problemi.:k:


Continuerò a correre, perchè ci sarà sempre qualcuno migliore di me.

Evvia i libri, evitate gli stolti che non li integrano nella loro vita.

http://www.mentisferiche.it

Luca Tedesco
PM Quote
Avatar
Shutdown (Founder Member)
Guru


Messaggi: 1212
Iscritto: 10/09/2005

Segnala al moderatore
Postato alle 16:40
Domenica, 17/06/2007
WARRIOR ma cosa dici?

Si può benissimo fare un "filtro"
ponendo dei controlli sul mimetype
del documento.

Il controllo, ti consiglio di farlo
lato server, quindi nello script
PHP che effettua il trasferimento
dall'HD all'host.

Ciao e alla prossima,
Niccolò.


1 + 1 = 10
PM Quote
Avatar
WARRIOR (Ex-Member)
Guru


Messaggi: 627
Iscritto: 30/03/2007

Segnala al moderatore
Postato alle 16:46
Domenica, 17/06/2007
praticamente quello che ho detto io -_- ;)


Continuerò a correre, perchè ci sarà sempre qualcuno migliore di me.

Evvia i libri, evitate gli stolti che non li integrano nella loro vita.

http://www.mentisferiche.it

Luca Tedesco
PM Quote
Avatar
Shutdown (Founder Member)
Guru


Messaggi: 1212
Iscritto: 10/09/2005

Segnala al moderatore
Postato alle 17:04
Domenica, 17/06/2007
"Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script.."

Mi pare che lo diceva anche lui...

"se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo,"

Questa affermazione non arriva a nessuna conclusione.

"non penso ci siano problemi.:k:"

Non ci sono problemi? Beh... non direi...
Infatti se non si filtrano i documenti l'utente
può caricare quello che gli pare. In base
al documento caricato il web server interpreta,
spedisce, ecc...

Non penso che le due risposte (la mia e la tua)
equivalgano. Esprimono due messaggi diversi.

La mia consiglia di controllare il mimetpe,
la tua invece espone lo stesso problema in
termini diversi...

Comunque non te la prendere... ;)
Io mi domandavo solo dove intendevi arrivare
con quella risposta...

Il tuo "non ci sono problemi" avrebbe
messo sicuramente nei guai il nostro amico.

Va be' dai...
Ci sentiamo alla prossima,
Niccolò.

Comunque SI'... Se l'utente carica file arbitrari e non controllati, potrebbe intenzionalmente mettere in pericolo la sicurezza del sito.

Ultima modifica effettuata da Shutdown il 17/06/2007 alle 17:11


1 + 1 = 10
PM Quote
Avatar
WARRIOR (Ex-Member)
Guru


Messaggi: 627
Iscritto: 30/03/2007

Segnala al moderatore
Postato alle 20:23
Domenica, 17/06/2007
Lui ipotizzava di avere un sistema dove ogni utente poteva caricare i file con una qualsiasi estensione, senza preoccuparsi di quest'ultima.
Non di un sistema che controllava tutti i file in entrata ;) .
Cmq si è potenzialmente pericoloso.


Continuerò a correre, perchè ci sarà sempre qualcuno migliore di me.

Evvia i libri, evitate gli stolti che non li integrano nella loro vita.

http://www.mentisferiche.it

Luca Tedesco
PM Quote
Avatar
xander (Ex-Member)
Rookie


Messaggi: 27
Iscritto: 13/04/2006

Segnala al moderatore
Postato alle 21:28
Domenica, 17/06/2007
Già me ne sono accorto quando uno ha caricato un file in html che mostrava come funzionava un alert.
Se è possibile mi potete per favore spiegare come faccio per fare in modo che possono essere uppati solo file rar ??? Cioè io pensavo ke asistevano delle variabili apposta ma non ne trovo. Grazie in anticipo !

PM Quote
Avatar
Shutdown (Founder Member)
Guru


Messaggi: 1212
Iscritto: 10/09/2005

Segnala al moderatore
Postato alle 0:40
Lunedì, 18/06/2007
Appena posso (penso a mezzogiorno) ti
posto un esempio, okay? ;)

@ WARRIOR:
Veramente l'estensione non comporta nulla...
Infatti nessuno mi impedisce di salvare uno script
PHP nel file "file.jpg"...
Un documento viene riconosciuto in base alla
sua intestazione e composizione...
Si ritorna al mimetype...
Dai basta...
Come si fa a ragionare così? :)


1 + 1 = 10
PM Quote
Avatar
xander (Ex-Member)
Rookie


Messaggi: 27
Iscritto: 13/04/2006

Segnala al moderatore
Postato alle 10:04
Lunedì, 18/06/2007
Ti ringrazio per la disponibilità ! Allora aspetto l'esempio grazie !!!!

PM Quote
Pagine: [ 1 2 3 4 ] Precedente | Prossimo