finchè inserivo immagini, facendo presto a controllare
ma ora sto inserendo anche documenti .pdf, .doc e anche immaginiCodice PHP:$allowed_types = array("image/gif","image/pjpeg","image/jpeg");
if(!in_array($_FILES["upfile"]["type"][$Indice],$allowed_types))
come devo impostare il mio array?
cosi? :master:Codice PHP:$allowed_types = array(file/doc","file/pdf","image/jpeg");
if(!in_array($_FILES["upfile"]["type"][$Indice],$allowed_types))
Il portale sul turismo a Lucca
Siti web Lucca
Vendo Tex a colori di Repubblica (primi 100 numeri) - info in pvt.
Una lista di mimetype la puoi trovare al seguente indirizzo:
http://www.asciitable.it/mimetypes.asp
Comunque ti suggerisco di aggiungere un controllo anche sull'estensione, altrimenti lasci il tuo sito aperto ad attacchi.
era esattamente quello che volevo fareOriginariamente inviato da filippo.toso
Comunque ti suggerisco di aggiungere un controllo anche sull'estensione, altrimenti lasci il tuo sito aperto ad attacchi.
esempio?
Il portale sul turismo a Lucca
Siti web Lucca
Vendo Tex a colori di Repubblica (primi 100 numeri) - info in pvt.
up
Il portale sul turismo a Lucca
Siti web Lucca
Vendo Tex a colori di Repubblica (primi 100 numeri) - info in pvt.
Originariamente inviato da filippo.toso
Una lista di mimetype la puoi trovare al seguente indirizzo:
http://www.asciitable.it/mimetypes.asp
Comunque ti suggerisco di aggiungere un controllo anche sull'estensione, altrimenti lasci il tuo sito aperto ad attacchi.
AFAIK il controllo sul mime type è + affidabile
rispetto all'estensione del file.
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
Ma se modifichi la richiesta HTTP e setti il mimetype in image/jpg e usi come estensione php ti uppa un bello script php funzionanteOriginariamente inviato da whisher
AFAIK il controllo sul mime type è + affidabile
rispetto all'estensione del file.
, quindi controlla l'estensione.
Per l'estensione puoi fare
Codice PHP:<?php
$parti = explode( ".", $nome_file );
$estensione = $parti[ count( $parti ) - 1 ];
if( $estensione == ... )
?>
Originariamente inviato da Cor3
Ma se modifichi la richiesta HTTP e setti il mimetype in image/jpg e usi come estensione php ti uppa un bello script php funzionante
Per l'estensione puoi fare
Codice PHP:<?php
$parti = explode( ".", $nome_file );
$estensione = $parti[ count( $parti ) - 1 ];
if( $estensione == ... )
?>
Lo stesso si può dire della tua soluzione
(nel caso di immagini con getimagesize
si potrebbe stare sicuri perchè in caso
di file invalido la funzione genera un warning
o un notice dalla versione 5.2.3)
diciamo che per stare sicuri è meglio
fare tutti e due i controlli anzi dato che ci
siamo aggiungiamo anche controllare il
- referrer
- rinominare il file (nel tuo script se un file pippo.php.gif .......)
- e cambiare i permessi
se hai altro aggiungi ...
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
Concordo pienamente
anche se con qualche piccolo accorgimento non vedo come possa essere bypassabile
Codice PHP:<?php
$parti = explode( ".", $nome_file );
$estensione = $parti[ count( $parti ) - 1 ];
$nome_sicuro = str_replace( ".", "", $nome_file );
if( $estensione == consentita )
fopen( $nome_sicuro . "." . $estensione, "w+" );
?>
fopenOriginariamente inviato da Cor3
Concordo pienamente
anche se con qualche piccolo accorgimento non vedo come possa essere bypassabile
Codice PHP:<?php
$parti = explode( ".", $nome_file );
$estensione = $parti[ count( $parti ) - 1 ];
$nome_sicuro = str_replace( ".", "", $nome_file );
if( $estensione == consentita )
fopen( $nome_sicuro . "." . $estensione, "w+" );
?>
se metto un file del genere pippo.ripippo.hai.jpg
che succede
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
Ciao C0r3
Modifica explode in questo modo:
e in $parti[0] hai il nome del fileCodice PHP:$parti = explode( ".", $nome_file, 2 );
in $parti[1] l'estensione
Permessi di invio
Rispondi quotando