usi x caso IE?Originariamente inviato da andr3a
del fatto che continua a farmi downloadare un file con un nome differente cosa mi dici ???
miofile.class.php.zip che diventa senza alcun motivo apparente miofile[1].class.php.zip
o anche miofile[2].class.php.zip
:master:
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
beh ... non so te ma io quando faccio qualcosa lo testo su piu' browsers e tagliare fuori l' 80% dell' utenza internettiana mi sembrava un po eccessivo ...Originariamente inviato da daniele_dll
usi x caso IE?
Sai se c'e' un modo per risolvere ???
header("Content-Disposition: attachment; filename={$result['filename']}");Originariamente inviato da andr3a
beh ... non so te ma io quando faccio qualcosa lo testo su piu' browsers e tagliare fuori l' 80% dell' utenza internettiana mi sembrava un po eccessivo ...
Sai se c'e' un modo per risolvere ???
se nn va questo...nn zo che dirti
a me funzia
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
la premessa e' che cosi' funziona alla perfezione, lo zip non e' corrotto ed il file al suo interno ha il nome corretto, senza le quadre insomma ...
cmq faceva la stessa identica cosa col gz, col bz, con priz, il proz, il funcz ...Codice PHP:$f = "../timplates/".$my_filename;
$fp = fopen($f, "r");
$myfile = fread($fp, filesize($f));
fclose($fp);
require_once("../timplates/archive.php");
$zipfile = new zipfile();
$zipfile->addfile($myfile,$my_filename);
header('Content-Type: application/zip');
header('Content-Disposition: attachment; filename='.$my_filename.'.zip');
header("Content-Transfer-Encoding: binary");
echo $zipfile->getdata();
exit(0);
P.S. il size non c'e' perche' lo creo on-the-fly ... c'e' una gestione di downloads in db quindi volevo evitare links a file esterni
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
ho una curiosità.. :
si basa sull'estensione apache? e se l'estensione fosse falsa? ad esempio se ho un sistema che permette a certi utenti di afre un upload e ad altri di scaricare i files uploadati... ci potrebbero essere dei fake o peggio degli exploit che sfruttino la cos... no?Originariamente inviato da daniele_dll
Praticamente...qua c'è la seguenza
- Richiesta da parte del client al server
- Apache controlla se il file esiste
- Legge l'estensione se esiste
- Cerca l'estensione dentro mime.types
- Se non la trova, applica le regole di ricerca che stanno dentro magic sul contenuto del file per riconoscere qualke formato
- Se non trova neanche nulla allora invia l'header application/octet-stream
o ho detto una cazzata?
il resto mi era abbastanza chiaro ma per chi si avvicina al php può essere molto utile, bravo
guidoz se un file .exe lo rinomini in .zip ti parte il download di un file non zippato ma visto come tale, pero' il winzip non riuscira' ad aprirlo perke' sara' un fake
allora quello che dici è veroOriginariamente inviato da }gu|do[z]{®©
ho una curiosità.. :
si basa sull'estensione apache? e se l'estensione fosse falsa? ad esempio se ho un sistema che permette a certi utenti di afre un upload e ad altri di scaricare i files uploadati... ci potrebbero essere dei fake o peggio degli exploit che sfruttino la cos... no?
o ho detto una cazzata?
il resto mi era abbastanza chiaro ma per chi si avvicina al php può essere molto utile, bravo
xo...questo dipende dallo script di upload...mi spiego meglio se tu rinomini 1 file .exe in .zip e lo invii allo script che vuole lo zip...quello tenta di aprire il file e nn ci riesce allora ti da errore...mi sembra difficile che nel dubbio quello rinomini il file e faccia un exec
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
e fin qui ci siamo.. ed era quello che volevo dire.. quindi apache non passa il mime type REALE.. ma solo uno presunto in base all'estensione, no?Originariamente inviato da andr3a
guidoz se un file .exe lo rinomini in .zip ti parte il download di un file non zippato ma visto come tale, pero' il winzip non riuscira' ad aprirlo perke' sara' un fake
ci sono exploit che sfruttano questa cosa... ad esempio un file audio video di un formato proprietario di microzzoz [wmv] mascherato da mp3 cambiando l'estensione.. sembra innocuo ma può lanciare script o qualsiasi latra cosa tramite url
Se apache me lo da come mp3 fidandosi dell'estensione io lo ritengo un mp3 e non un wmv e quindi perdo coscienza di cosa sto eseguendo realmente
hum.. tu dici che in fase di upload legge l'header? non posso uppare un file con un'estensione falsa? non ti seguoOriginariamente inviato da daniele_dll
allora quello che dici è vero
xo...questo dipende dallo script di upload...mi spiego meglio se tu rinomini 1 file .exe in .zip e lo invii allo script che vuole lo zip...quello tenta di aprire il file e nn ci riesce allora ti da errore...mi sembra difficile che nel dubbio quello rinomini il file e faccia un exec
. . .Originariamente inviato da }gu|do[z]{®©
e fin qui ci siamo.. ed era quello che volevo dire.. quindi apache non passa il mime type REALE.. ma solo uno presunto in base all'estensione, no?
ci sono exploit che sfruttano questa cosa... ad esempio un file audio video di un formato proprietario di microzzoz [wmv] mascherato da mp3 cambiando l'estensione.. sembra innocuo ma può lanciare script o qualsiasi latra cosa tramite url
Se apache me lo da come mp3 fidandosi dell'estensione io lo ritengo un mp3 e non un wmv e quindi perdo coscienza di cosa sto eseguendo realmente
che exploit potrebbe mai esserci???
appena parte il winamp...vede che nn è un mp3...e ti dice nn è un mp3
quello che dici tu è valido SOLO se il programma che legge i dati fa skif...allora a causa degli overflow buffers lascia in memoria il file caricato e questo viene eseguito...ma deve proprio fare skifo ^_^
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Permessi di invio
Rispondi quotando
