sicherer PHP-Upload

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • sicherer PHP-Upload

    Hallo,
    ich sitze momentan an der Umsetzung eines PHP-Uploads.

    Da dieser natürlich so sicher sein soll wie es geht, würde ich mich um Tipps oder Artikel zu diesem Thema sehr freuen. Ich hoffe ihr könnte mir da helfen.
    Bisher prüfe ich ob der Dateityp (gif,jpg,png,rar,zip,tar.gz) in einer Whitelist definiert ist und gebe der Datei einen Zufallsnahmen. Das Uploadverzeichniss ist nicht direkt erreichbar (.htaccess). Leider sieht der User beim Download einer Datei den Zufallsnahmen, das will ich aber noch ändern. Ich denke da kann man sicherlich noch mehr machen oder?

    mfg M4c
    Zuletzt geändert von M4c; 10.01.2009, 16:54.

  • #2
    Bisher prüfe ich ob der Dateityp (gif,jpg,png,rar,zip,tar.gz) in einer Whitelist definiert ist
    Wie prüfst du das?

    Wenn das Uploadverzeichnis nicht von außen erreicht werden kann, d.h. auch nicht einfach über ein Skript, dann ist doch egal, wenn der User den Zufallsnamen kennt.

    Worauf genau zielt deine Frage eigentlich?

    Kommentar


    • #3
      Bisher prüfe ich ob der Dateityp (gif,jpg,png,rar,zip,tar.gz) in einer Whitelist definiert ist Wie prüfst du das?
      Also ich verlasse mich nicht auf die Dateinendung der Datei sondern ich hole mir die Informationen aus der Datei.

      Wenn das Uploadverzeichnis nicht von außen erreicht werden kann, d.h. auch nicht einfach über ein Skript, dann ist doch egal, wenn der User den Zufallsnamen kennt.
      Da hast du auch wieder recht.

      Worauf genau zielt deine Frage eigentlich?
      Meine Frage zielt daraufhin, Tipps und Anregungen zu bekommen welche Möglichkeiten es noch gibt um die Dateien die hochgeladen werden zu prüfen.

      Kommentar


      • #4
        Wenn du eine Überprüfung hast, mit der du 100%ig den Typ validieren kannst, hast du doch alles, was du brauchst. Wie auch immer diese Überprüfung aussehen mag, denn das ist je nach Satz der möglichen Dateitypen unterschiedlich komplex.

        Kommentar


        • #5
          Original geschrieben von M4c
          Also ich verlasse mich nicht auf die Dateinendung der Datei sondern ich hole mir die Informationen aus der Datei.
          Interessant. Wie machst du das denn?
          Bei gif, jpg, png, rar, zip und tar.gz geht das ja gerade noch, aber es ist schon ziemlich umständlich. Ausser bei Musik oder bei Videos, die nachher direkt abgespielt werden können sollen ist es meistens weder sinnvoll noch ohne weiteres (oder gar nicht) möglich.
          Noch ne Frage: Was nützt dem User die Zufallszahl (oder Name oder was auch immer), bzw. was schadet es dir, wenn er sie weiss?

          Kommentar

          Lädt...
          X