sicurezza dei file uploadati

[carlo2002]

sto facendo una specie di zona di condivisione file per poche xsone con ingresso tramite login ed ogni utente può uploadare file a piacimento sul server da condividere con altre a scelta.

oltre al fatto che l'accesso è protetto (speriamo a sufficenza) e i poki utenti sono xsone fidate, mi viene il dubbio della sicurezza ke può dare un sistema di upload così.

supponiamo ke un male-intenzionato riesca a superare i vari controlli di protezione e raggiunga il file x l'upload, può tramite esso caricare sul server del codice malevolo ke può portare poi a danni + seri? :master:

ke precauzioni conviene prendere?

[marketto]

devi permettere l'upload solo di determinati file; nessun file dovrà essere processato dal server (quindi nn potrà avere estensione php o simili).

[carlo2002]

grazie,

quindi oltre a .php quali altre estensioni non devono essere uploadate ?

e...

è sufficente fare un controllo tramite espressioni regolari su MIME contenuto in $_FILES[

"nomefile"]["type"] ?

[DarCas]

Quandi fai l'upload del file sul server gli dai 644 di chmod e sei apposto...

Eviti inoltre di fare caricare file PHP, e sei apposto!

[carlo2002]

Originariamente inviato da DarCas
Quandi fai l'upload del file sul server gli dai 644 di chmod e sei apposto...

Eviti inoltre di fare caricare file PHP, e sei apposto!

uhm... x quello ke sapevo (posso sbagliarmi) x fare l'upload non si dovevano mettere x forza CHMOD a 777 ?

[DarCas]

Originariamente inviato da carlo2002
uhm... x quello ke sapevo (posso sbagliarmi) x fare l'upload non si dovevano mettere x forza CHMOD a 777 ?

Solo alla cartella in cui uploadi devi dare 777, ma ai file che carichi devi dare 644..
se gli dai 777 ti esponi...

Tanto al momento del caricamento, i file divengono di proprietà di Apache (owner) ed averli in 644 significa poterli leggere, modificare, ma non eseguire!