xander (Ex-Member)
Rookie
 
Messaggi: 27
Iscritto: 13/04/2006
|
Salve a tutti !
Io ho realizzato uno script collegato al forum phpbb che ti permette di uppare dei file cioè se tu sei registrato al forum puoi inviare il file altrimenti no.
Solamente che ognuno può inserire l'estensione che vuole ad esempio se uno uppa un file .php appena preme su scarica si apre il file php senza che venga scaricato.
Secondo vuoi questo può essere pericoloso ?????
|
|
|
WARRIOR (Ex-Member)
Guru
Messaggi: 627
Iscritto: 30/03/2007
|
Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script..se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo, non penso ci siano problemi.
|
|
|
Shutdown (Founder Member)
Guru
Messaggi: 1212
Iscritto: 10/09/2005
|
WARRIOR ma cosa dici?
Si può benissimo fare un "filtro"
ponendo dei controlli sul mimetype
del documento.
Il controllo, ti consiglio di farlo
lato server, quindi nello script
PHP che effettua il trasferimento
dall'HD all'host.
Ciao e alla prossima,
Niccolò.
|
|
|
WARRIOR (Ex-Member)
Guru
Messaggi: 627
Iscritto: 30/03/2007
|
praticamente quello che ho detto io -_- 
|
|
|
Shutdown (Founder Member)
Guru
Messaggi: 1212
Iscritto: 10/09/2005
|
"Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script.."
Mi pare che lo diceva anche lui...
"se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo,"
Questa affermazione non arriva a nessuna conclusione.
"non penso ci siano problemi."
Non ci sono problemi? Beh... non direi...
Infatti se non si filtrano i documenti l'utente
può caricare quello che gli pare. In base
al documento caricato il web server interpreta,
spedisce, ecc...
Non penso che le due risposte (la mia e la tua)
equivalgano. Esprimono due messaggi diversi.
La mia consiglia di controllare il mimetpe,
la tua invece espone lo stesso problema in
termini diversi...
Comunque non te la prendere...
Io mi domandavo solo dove intendevi arrivare
con quella risposta...
Il tuo "non ci sono problemi" avrebbe
messo sicuramente nei guai il nostro amico.
Va be' dai...
Ci sentiamo alla prossima,
Niccolò.
Comunque SI'... Se l'utente carica file arbitrari e non controllati, potrebbe intenzionalmente mettere in pericolo la sicurezza del sito.
Ultima modifica effettuata da Shutdown il 17/06/2007 alle 17:11 |
|
|
WARRIOR (Ex-Member)
Guru
Messaggi: 627
Iscritto: 30/03/2007
|
Lui ipotizzava di avere un sistema dove ogni utente poteva caricare i file con una qualsiasi estensione, senza preoccuparsi di quest'ultima.
Non di un sistema che controllava tutti i file in entrata .
Cmq si è potenzialmente pericoloso.
|
|
|
xander (Ex-Member)
Rookie
Messaggi: 27
Iscritto: 13/04/2006
|
Già me ne sono accorto quando uno ha caricato un file in html che mostrava come funzionava un alert.
Se è possibile mi potete per favore spiegare come faccio per fare in modo che possono essere uppati solo file rar ??? Cioè io pensavo ke asistevano delle variabili apposta ma non ne trovo. Grazie in anticipo !
|
|
|
Shutdown (Founder Member)
Guru
Messaggi: 1212
Iscritto: 10/09/2005
|
Appena posso (penso a mezzogiorno) ti
posto un esempio, okay?
@ WARRIOR:
Veramente l'estensione non comporta nulla...
Infatti nessuno mi impedisce di salvare uno script
PHP nel file "file.jpg"...
Un documento viene riconosciuto in base alla
sua intestazione e composizione...
Si ritorna al mimetype...
Dai basta...
Come si fa a ragionare così? 
|
|
|
xander (Ex-Member)
Rookie
Messaggi: 27
Iscritto: 13/04/2006
|
Ti ringrazio per la disponibilità ! Allora aspetto l'esempio grazie !!!!
|
|
|
| 
