impedire al php di...

[mizzicamizzica]

Su un mio sitarello do la possibilità ai miei utenti di inserire file e realizzare le loro paginette web, solo che volevo dare loro la possibilità di uploadare anche file php, ma mi sono trovato di fronte a un problema:

ma se uploadassero file php in grado di danneggiare la mia homepage?

quindi mi servirebbe un sistema in php o in htaccess che risolva il problema in uno di questi modi:
1- blocchi eventuali comandi come quelli per ottenere la path generale del server in modo che lo script non possa ottenere la locazione di altre cartelle

2-limitare il funzionamento degli script nella cartella in cui si trovano

3-"nasconda" al php alcune cartelle da me scelte...

ricordatevi che i miei utenti utilizzano uno script php per l'upload di file, quindi potrei tranquillamente far leggere a questo script il contenuto del file php da uploadare e al riconoscimento di alcuni precisi comandi intervenire bloccando l'upload, solo che mi servirebbe una lista completa di comandi che potrebbero favorire l'uso di directory diverse da quelle di destinazione (naturalmente si intende a retroso, se un utente crea una sua cartelal nel suo spazio la può usare tranquillamente) poichè penso di non conoscerli tutti.


Grazie anticipatamente

[cicciox80]

a prima vista il controllo del contenuto non sarà mai sicuro al 100%

x esempio l'utente può uploaddare un tranquillo file di testo, poi uploadda un file php che rinomina il file di testo in un file php ed il gioco è fatto

o più in generale, si possono "truccare" delle istruzioni in modo da passare inosservate davanti a filtri, come l'istruzione:

eval("del" . "ete(/index.php");

penso che si debba gestire la cosa ad un livello più alto (forse htaccess anche se nn ne so nulla al riguardo)

[bubu77]

poi non puoi limitare il controllo ai file php se vuoi che l'utente possa includere i file nella sua cartella perché potrebbe uploadare un file con istruzioni php ma estenzione casuale e poi includerlo con un file php (aggirando il controllo)

[mizzicamizzica]

qualche sistema per impedirlo senza eseguire il controllo? magari qualche impostazione htaccess

[cicciox80]

l'unica cosa che mi viene in mente e che sia fattibile è quella di creare una cartella per ogni utente, con user e pwd. In pratica, come tu non puoi arrivare all'hd del server andando sulle cartelle superiori, così pure loro non possono andare al livello superiore della cartella.

Il problema è che nn so se il gestore permette la cosa.

[mizzicamizzica]

tramite htaccess intendi? se tramite htaccess ti comunico che il gestore lo permette, e so anche la sintassi credo, solo che non capisco come dovrei fare, aiutami con una struttura di esempio, ti scrivo io quella che ho pensato

codice:

home dell' hosting:  
+ [fileprivati]  
- [spazioutenti]     
    |- [pippo]     
    |- [monica]     
    '- [luisa]  
+ [cartella3]  
index.php  
home.htm

in poche parole nella home del server ci sono 3 cartelle e altri file liberi da cartelle (insomma nella patch principale)e devo fare in modo che l'utente pippo, possessore della cartella [pippo] che si trova nella cartella [spazioutenti] non riesca a usare file php per interagire con file esterni alla sua sola cartella (in due parole i file php possono interagire solo in pippo)

come potrei fare? basterebbe mettere un file htaccess nella cartella [spazioutenti] o bisognerebbe proteggee ogni cartella esterna? seconda domanda: ma se io proteggo ogni cartella con il file htaccess, poi non ci posso accedere liberamente tramite http se non ho la psw quindi non è più un sito..vero? c'è altra soluzione?

[mizzicamizzica]

Con il chmod? sto su linux, se io imposto al chmod in modo che le cartelle che voglio proteggere siano di sola lettura, l'impedimento vale anche per i file php???

[mizzicamizzica]

ragazzi, con il chmod? non mi abbandonate ora...

[pak0]

ho lo stesso problema tuo... e non so come fare

[mizzicamizzica]

Se io setto il chmod posso impedire al php di scrivere un nuovo file txt, ma posso anche impedirgli modifica di file, eliminazione...ve? vabbè pakO ci toccao provare mi sa...