ciao a tutti.
mi potreste dire quali sono i controlli fondamentali che devo fare quando uploado un file su web server
?
calcolate che il mio intento e' quello di garantire la sicurezza al cliente
ciao a tutti.
mi potreste dire quali sono i controlli fondamentali che devo fare quando uploado un file su web server
?
calcolate che il mio intento e' quello di garantire la sicurezza al cliente
up
up
Sicuramente niente file php. Poi se il tuo server può interpretare altri linguaggi, controlla anche che non stia uploadando altro codice nocivo (asp, aspx, jsp etc etc). Poi ancora una volta, dipende dalle esigenze: se ti aspetti di ricevere immagini, elimina a priori tutti i file che non soddisfino i requisiti (ossia non fare il fatidico move uploaded file e lascia marcire i temporanei nella cartella tmp dove non possono fare danno)
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
domanda.... se il file che devo accettare e' di tipo zip .....mi frego con le mie stesse mani? Come posso controllare se nello zip ci sia una cosa tipo....che ne so...tipo il cdkey che identifica che quello zip e' a posto..(secondo miei parametri) .....altrimenti uno potrebbe uploadre qualsiasi cosa....
n.b. devo per progetto accettare zip
qualche consiglio?
up
se ricevi uno zip mica ti dice il dottore di scompattarlo, lascialo così che anche se c'e' dentro un file php non fa danni.
Appunto... e se invece devi proprio scompattarlo, puoi passare in rassegna l'archivio con la classe ZIP di PHP
http://it2.php.net/manual/it/ref.zip.php
Tra l'altro proprio di recente mi sembra sia stato pubblicato un dettagliato articolo sulla manipolazione di file zip con php proprio su html.it
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
Nessun file è dannoso se non lo esegui o non riesce a sfruttare buchi di sicurezza nel tuo OS.
Quindi il problema dove sta?
Perchè?Originariamente inviato da Andrea1979
Sicuramente niente file php.
Semplice: fai uno script per le news o simili in cui consenti ad un utente di caricare un allegato ad un articolo... e l'allegato è un bel file PHP con le istruzioni per (a fantasia)Originariamente inviato da mark2x
[...]
Perchè?
- cancellare tutti i file dal server
- cercare la stringa di connessione al database e svuotarglielo
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
Permessi di invio
Rispondi quotando