Sicurezza: dubbio tra Upload e Form

[Iron83]

Ciao ragazzi,

ho un piccolo dubbio e sono indeciso tra due strade. ho creato un'area adibita all'invio, da parte dell'utente, di un progetto scritto tramite l'utilizzo di un normale form con campi input e textarea. Pensavo però che se il progetto è di una lunghezza tale che supera il limite dei carattermi massimi che si possono inserire in una textarea il progetto potrebbe interrompersi una volta raggiunto il limite massimo. A questo proposito ho pensato di creare uno script di upload file che permetta di caricare i progetti in una cartella e registrare il percorso in un db, la mia domanda è la seguente:

Sicurezza:

Per l'upload dei file direttamente nel server c'è il rischio che qualche male intenzionato possa uploaddare virus e altra robettina, come ci si può difendere? Io sono su hosting aruba c'è qualche cartella speciale per inserire i file e proteggerli? Grazie

[Santino83_02]

in genere la textarea si associa ad un campo Memo (access) o Text(altri) che contiene un bel numero di caratteri.. ma tanti...

uplodare virus? hum.. dubito che le cartelle di IIS che usi te per fare l'upload abbiano i permessi adatti per consentire ad un virus di rompere...

[deleted_b]

se carichi dei file controlla le estensioni... altrimenti ti scarica il sito in un attimo

[Iron83]

Ciao Santino intanto ti ringrazio per la risposta .
La textarea infatti l'ho associata ad un campo memo e se non erro un campo memo può contenere all'incirca 65000 caratteri. Per l'upload non sono tanto sicuro perchè quando andrei a creare la cartella dove poi vanno a finire fisicamente i file devo assegnargli gli attributi di scrittura (sicuro) e di esecuzione (credo) quindi una volta uploaddato un file sospetto basterebbe richiamarlo credo,,, Ovviamente è tutta teoria la mia

[Iron83]

Ciao cicciopie II,

il controllo l'avrei messo su estensioni .doc e su un tot di peso..

[Santino83_02]

la cartella che tu vai a creare eredita i permessi della cartella che l'host dà a disposizione per tali scopi, e nei permessi dati a tale cartella di certo non rientrano quelli di esecuzione (a meno che tu non vada a mettere i file in una cartella come cgi-bin che tali diritti invece li detiene)

e cmq non basta fare l'upload del file col virus.. non sono un esperto di sicurezza informatica, ma immagino che per attivare il virus bisogni "avviare" il file che lo contiene... se questo l'utente non può farlo, non dovresti avere problemi.

sicuro limitare i tipi di estensioni ammesse limita un poco il problema dei file infetti.

[Iron83]

Diciamo che i file importanti, e non li ho nella root principale del server. I pannelli di gestione e quant'altro dove dovrebbero andare? Secondo te è funzionale metterli nella root principale in una sottocartella? Grazie