Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 6 su 6

Discussione: directory upload

  1. 17-08-2010, 18:48 #1
    matric82
    matric82 non è in linea
    Utente di HTML.it L'avatar di matric82
    Registrato dal
    Feb 2010
    Messaggi
    26

    directory upload

    salve a tutti, non sono sicuro che questo sia l'ambito adatto alla mia domanda, lascio al moderatore la decisione.
    Ho un sito che permette agli utenti di fare l'upload di immagini, per ora questa cartella in cui vengono copiati (lo script è in PHP) è sotto public_html, settata con i permessi 777.
    Vorrei che l'upload venisse fatto in una cartella non accessibile da tutti, in modo da evitare che qualcuno possa fare l'upload di pagine contenenti script.
    L'upload è controllato tramite PHP e Javascript, ma penso che la sicurezza migliore sia quella di spostare la directory al di sotto di public_html.
    Ho già provato a farlo, ma poi le immagini non si visualizzano.
    Spero di essere stato sufficientemente chiaro.
    Grazie della collaborazione.
    Rispondi quotando Rispondi quotando
  2. 17-08-2010, 19:31 #2
    Samleo
    Samleo non è in linea
    Utente di HTML.it L'avatar di Samleo
    Registrato dal
    Nov 2005
    Messaggi
    1,848
    Anche se la cartella ha permessi 777, non significa che possono caricargli sopra quello che vogliono.

    Più che altro dovresti controllare lo script php che si occupa dell'upload vero e proprio!
    Rispondi quotando Rispondi quotando
  3. 17-08-2010, 22:01 #3
    matric82
    matric82 non è in linea
    Utente di HTML.it L'avatar di matric82
    Registrato dal
    Feb 2010
    Messaggi
    26
    ok, gli script che si occupano dell'upload controllano il tipo di file, ma se volessi essere più sicuro non è possibile settare la directory in modo che da li non possa essere letta una pagina html o php, magari spostandola al di sopra della directory public_html?
    Sto utilizzando un servizio di hosting esterno ma, tempo fa avevo un server in casa che era stato sfruttato da qualcuno per copiare delle pagine contraffatte con lo scopo di fare del phishing, per questo mi pongo questo scrupolo.
    Rispondi quotando Rispondi quotando
  4. 17-08-2010, 23:22 #4
    Enoa
    Enoa non è in linea
    Utente di HTML.it L'avatar di Enoa
    Registrato dal
    Jul 2005
    Messaggi
    573
    per rendere accessibile una cartella esterna alla document root devi usare Alias:
    http://httpd.apache.org/docs/current...ias.html#alias
    Ma non la puoi usare negli .htaccess, quindi non la puoi usare negli hosting condivisi.
    In ogni caso tutto ciò a cui può accede lo script di upload è affetto dalle sue vulnerabilità.
    Se non vuoi mettere cartelle con chmod 777, guardati gli script di upload che sfruttano http e ftp
    Ma se quello che carichi è infetto...
    Rispondi quotando Rispondi quotando
  5. 18-08-2010, 11:09 #5
    Samleo
    Samleo non è in linea
    Utente di HTML.it L'avatar di Samleo
    Registrato dal
    Nov 2005
    Messaggi
    1,848
    In ogni caso, se il codice delle tue pagine è ben scritto, risulterà impossibile caricare dei file all'interno delle cartelle di public da parte di utenti malintenzionati.

    Se limiti troppo i permessi delle cartelle, come hai visto, i file al loro interno non saranno più disponibili!
    Rispondi quotando Rispondi quotando
  6. 18-08-2010, 11:44 #6
    Enoa
    Enoa non è in linea
    Utente di HTML.it L'avatar di Enoa
    Registrato dal
    Jul 2005
    Messaggi
    573
    se una cartella ha i permessi di lettura/scrittura, non è detto che debba usare lo script di upload per caricarci file dentro.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.