Ragazzi,
mi trovo davanti ad un increscioso problema: ho uno script php che tramite form uploada immagini in una cartella settata con permessi 777.
Ormai questa cartella puntualmente mi viene svuotata da qualche smanettone.
Ho contattato il mio server che mi suggerisce di passare i permessi della cartella da 777 a 755... ma così facendo non posso eseguire l'upload !!!
Cosa mi consigliate?
Grazie in anticipo.
Esegui un SERIO controllo sull'input dell'utente in modo tal da far uploadare soltanto ciò che tu desideri. Inoltre inserisci un log delle connessioni in modo da controllare tutti quelli che eseguono l'upload. Infine controlla bene tutti gli script del sito (il bug che sfrutta potrebbe non essere situato nello script di upload). Gli smanettoni hanno la vita facile se i programmatori gliela rendono facile!
I dilettanti costruirono l'Arca, i professionisti il Titanic!
Ok, controllerò il tutto, ma a livello di permessi posso gestirli in maniera diversa?
Ad esempio pensavo di fare così:
chmod 777 della cartella_immagini
upload dell'immagine
chmod 755 della cartella_immagini
Potrebbe funzionare? Oppure ci potrebbero essere inconvenienti di cui non ne sono a conoscenza?
Up, grazie.
Up
Ragazzi, ho girato la rete, ma non trovo nulla.
Leggendo qua e là ho capito (qualcuno mi corregga se sbaglio) che su un server gestito con spazi virtuali, un ipotetico script di un altro sito ma che risiede sullo stesso server mio, può, se non fatto bene, creare dei problemi al mio sito!!!
Ecco allora... forse uno script di qualcun altro cancella il contenuto della mia cartella images (settata con permessi 777).
La soluzione, secondo voi, potrebbe essere la seguente? Oppure non risolvo nulla?
Setto la cartella con i permessi 755. poi prima di uplodare l'immagine nella cartella, setto i permessi a 777, quindi eseguo l'upload e poi ripristino la cartella con i permessi 755.
Che dite? Risolvo?
Grazie.
Allora... settare i permessi a 755 significa che il proprietario ha permessi di lettura, scrittura ed esecuzione.
Mentre i permessi pubblici ed i permessi di gruppo non accettano la scrittura nella cartella.
Il problema che riscontri te è strano, perché teoricamente chi esegue lo script può accedere come proprietario per cui, mi suona strano che tu non possa eseguire l'upload!
Se gli smanettoni invece riescono ad accedere allo spazio in hosting, potrebbe essere per tanti motivi... tra i quali quelli di avere pieno possesso del tuo sito, oppure do tutta la macchina dove è positato.
La situazione più probabile, però, è che la persona che accede lo fa grazie all'assenza di controlli sugli niput.
Come ti è stato suggerito, dovresti fare un controllo piuttosto stringente su quanto viene immesso in una stringa di testo, fosse anche il nome di un file.
Permessi di invio
Rispondi quotando