Upload-Controllo estenzione files

[djteschio]

Ciao a tutti, ho questo codice per l'upload che fa in modo che possano essere mandati sul server solo 4 tipi di file:

codice:

$allowed_types = array("image/gif","image/x-png","image/pjpeg","image/jpeg");
if(!in_array($_FILES["upfile"]["type"],$allowed_types)) {
die("Il file non è di tipo consentito!");
}

Mi sono accorto però che posso inviare ad esempio un file di tipo nomefile.exe.gif
Vorrei se possibile fare in modo che ciò non accada... vorrei far passare solo i file definiti nell'array, niente doppie estenzioni.
Come posso fare?

[spoon25]

sinceramente non vedo il problema, ho testato prendendo un file .exe e aggiungendo .gif ma $_FILES["upfile"]["type"] rimane 'application/octet-stream', lo stesso che quello che normale .exe, dunque anche se è un .exe ridefinito con .gif o altro il $_FILES["upfile"]["type"] dovrebbe funziona comunque (o almeno da me funziona).

[djteschio]

Ho riprovato rinominando il file in nomefile.gif.exe e l'upload viene permesso lo stesso!
E questo penso sia anche più grave...

[bgp]

if(substr($file,-3)=='jpg')
$file_php[] = $file;

[kuba]

oltre a controllare il tipo controlla anche l'estensione:

codice:

$extension = end(explode(".", $_FILES['upfile']['name']));
$extension = strtolower($extension);
switch ($extension) {
    case "gif":
         ok ...
}

scusa bgp avevo il thread aperto

[SMiLe3!!!]

Originariamente inviato da djteschio
Ho riprovato rinominando il file in nomefile.gif.exe e l'upload viene permesso lo stesso!
E questo penso sia anche più grave...

ma come...
il file rinominato sicuro che fosse un exe?

[djteschio]

Si, ho fatto le prove rinominando il file da nomefile.gif a nomefile.exe.gif ed infine a nomefile.gif.exe, il risultato e che vengono passati lo stesso anche se non dovrebbe...

Adesso stavo guardando i codice che mi ha inviato KUBA... ma facendo così sono costretto ad elencare tutti i tipi di file non concessi... io vorrei solo elencare i 4 tipi concessi...

[SMiLe3!!!]

guarda che se invii un file gif, anche se lo rinomini in .exe, rimane un file gif!
il massimo della pericolosità è che forse il browser non lo riconosce

[SMiLe3!!!]

Originariamente inviato da djteschio
Adesso stavo guardando i codice che mi ha inviato KUBA... ma facendo così sono costretto ad elencare tutti i tipi di file non concessi... io vorrei solo elencare i 4 tipi concessi...

no, basta che metti

Codice PHP:

$extension = end(explode(".", $_FILES['upfile']['name']));
$extension = strtolower($extension);
if ($extension!='gif' && $extension!='jpg' )
{
die('tipo di file non consentito!');
} 


[djteschio]

Perfetto! Grazie mille!