problemi di riconoscimento mime type

[pefish]

Salve a tutti.
Ho fatto una pagina per l'upload di file. E funziona, per sicurezza ho messo un controllo oltre che sulla dimensione del file anche sul mime-type che essendo un file latex con estensione .tex ha come mime-type : application/x-tex.

Pero' sembra funzionare solo con Mac OSX (provato con Safari, Firefox e Ie per mac). Quando provo l'upload con Firefox, Netscape, Ie6 su windows ma anche con Netscape su linux, ho errore e se vedo l'output di phpinfo() scopro che il file viene riconosciuto come application/octet-stream.

qualcuno ha un'idea??????

potete provare! il form per uploadare che sta qui:

http://egas38.na.infn.it/TEST/abstract.html

e visualizza il phpinfo().

e li trovate anche un file latex: egastemplate.tex
da scaricare e poi uploadare. i campi sono tutti obbligatori.

thanks

[chris]

Il mime type che ti ritrovi nelle variabili $_FILES viene inviato dal client, ergo vale quando i soldi del monopoli.

One should *NOT* upload untrusted files into your web tree, on any server.

Nor should any directory within your web tree have permissions sufficient for an upload to succeed, on a shared server. Any other user on that shared server could write a PHP script to dump anything they want in there!

The $_FILES['userfile']['type'] is essentially USELESS.
A. Browsers aren't consistent in their mime-types, so you'll never catch all the possible combinations of types for any given file format.
B. It can be forged, so it's crappy security anyway.

One's code should INSPECT the actual file to see if it looks kosher.

For example, images can quickly and easily be run through imagegetsize and you at least know the first N bytes LOOK like an image. That doesn't guarantee it's a valid image, but it makes it much less likely to be a workable security breaching file.

For Un*x based servers, one could use exec and 'file' command to see if the Operating System thinks the internal contents seem consistent with the data type you expect.

[mircov]

Nella cartella conf di apache c'è un file che si chiama "mime.types". Aprilo e vedi tutti i mime types per i file che ti servono. Devi controllare che il file caricato abbia uno di quei mime-types. Ciao!

[pefish]

Beh grazie delle risposte.
Se ha ragione Chris (e mi sembra che sia cosi') la configurazione di Apache non c'entra nulla. D'altra parte come ho detto con il mac funziona e quindi non vedo perche' il server dovrebbe avere file con i mime types dipendenti dai client.

Il controllo era non per sicurezza ma solo per evitare rogne e compilare file strani magari fatti con word o simili e salvati con estensione .tex.

Grazie ancora, alla prossima!

[mircov]

No, non hai capito quello che intendevo!
Ti ho detto di dare un'occhiata al file perchè in questo modo puoi vedere tutti i possibili mimetype per un tipo di file e fare i controlli di conseguenza! In quel file trovi molte informazioni interessanti riguardo i mime-types! Non ti ho mai detto di modificarlo ma solo di consultarlo!