Video Datei Download

**wahsaga** · 24.07.2010, 12:30

Texteditor nehmen, runtergeladene Datei damit öffnen - Fehlermeldungen?

**2Bad4You** · 24.07.2010, 14:03

Komplett leer das Dokument. Hatte mich oben auch vertan, das File ist nich 1kb sondern 0kb groß. Mit Editor oder Wordpad geöffnet = weiße Seite. Also komplett leer. hmm

**wahsaga** · 24.07.2010, 14:42

Mit welchem Browser testest du - IE?
Der ist bei solchen Sachen immer etwas zickig, was die Caching-Header angeht.
Schmeiß' die drei header-Zeilen vor der letzten mal raus.

Btw., dass das Script in der Form eine scheunentorgroße Sicherheitslücke aufreißt, weil man darüber sämtliche Dateien von deinem Webspace herunterladen kann, ist dir hoffentlich bewusst.

**2Bad4You** · 24.07.2010, 14:56

Ich habe es mit dem Firefox versucht. Im IE8 ist genau das selbe problem. Auch das rausschmeißen der 3 Header Zeilen bringt keine Änderung ...

Danke für den Hinweis zwecks Sicherheit. Ich habe etwas weiter oben diese Abfrage drin:

PHP-Code:


// Check if $_GET Parameter for Folder isset
if(isset($_GET['folder']) && ($_GET['folder'] != ""))
{
    $folder = DOWNLOAD_FOLDER."/".$_GET['folder']; // If it is set, bind Variable to $_GET folder key
}
else
{
    $folder = DOWNLOAD_FOLDER; // If it is not set, bind Variable to Download Folder specified in Config
}
    
// Check IF the $_GET Parameter with the filename is correct
if(!isset($_GET['filename']) || ($_GET['filename'] == "") || (!is_file($folder."/".$_GET['filename'])))
{
    echo "An Error occured. Please go back to the Main Menu. Use the Link below for this.";
    echo "<br />";
    echo "<a href='index.php?action=listFiles'>Go Back to the Main Page.</a>";
    die();
}

Dadruch sollte es doch nicht möglich sein beliebige Dateien über das Script zu downloaden oder? Es werden ja nur Dateien zugelassen die in einem bestimmten Ordner liegen. Oder hab ich da noch irgendwas vergessen? Bin für jeden Tipp dankbar.

**wahsaga** · 24.07.2010, 15:07

Na dann kommentiere erst mal alle Header aus, und schau ob Fehlermeldungen angezeigt werden.

error_reporting auf E_ALL und display_errors auf on hast du ja hoffentlich?

Und nein, deine Sicherheitsprüfung reicht selbstverständlich noch nicht aus, da man aus dem angegebenen Verzeichnis immer noch ganz leicht heraus kommt.

**2Bad4You** · 24.07.2010, 15:25

Ja Error Reporting ist an und display Errors auch. Wenn ich die Header auskommentiere und auf einen Download Klicke kommt eine weiße Seite und es werden keine Fehler angezeigt.
Der Downloadteil des Scriptes sieht jetzt so aus:

PHP-Code:


if($action == "downloadFile")
{
// Check Access Mode. If private -> check if logged_in 
// isset to 1 and check if Username is correct, again. For safety reasons.
if(ACCESS_MODE == "private" && (!isset($_SESSION['logged_in'])) 
|| ((ACCESS_MODE == "private") &&  ($_SESSION['logged_in'] == "0")) 
|| ((ACCESS_MODE == "private") && (!in_array($_SESSION['username'], $usernames, true))))     
{
    header("Location: index.php?action=login");
}
    
// Check if $_GET Parameter for Folder isset
if(isset($_GET['folder']) && ($_GET['folder'] != ""))
{
    $folder = DOWNLOAD_FOLDER."/".$_GET['folder']; 
       // If it is set, bind Variable to $_GET folder key
}
else
{
    $folder = DOWNLOAD_FOLDER; 
       // If it is not set, bind Variable to Download Folder specified in Config
}
    
// Check IF the $_GET Parameter with the filename is correct
if(!isset($_GET['filename']) || ($_GET['filename'] == "") || (!is_file($folder."/".$_GET['filename'])))
{
    echo "An Error occured. Please go back to the Main Menu. Use the Link below for this.";
    echo "<br />";
    echo "<a href='index.php?action=listFiles'>Go Back to the Main Page.</a>";
    die();
}
    
$filesize = filesize($folder."/".$_GET['filename']);    // Get Filesize
    
// Set Headers
//header('Content-Description: File Transfer');
//header('Content-Type: application/octet-stream');
//header("Content-Disposition: attachment; filename=".$_GET['filename']."");
//header('Content-Transfer-Encoding: binary');
//header('Expires: 0');
//header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
//header('Pragma: public');
//header("Content-Length: ".$filesize."");
    
// Send Output to Browser
flush();
readfile($folder."/".$_GET['filename']);
    
// Exit the Script
exit;
}

Ich weiß nicht woran das liegen soll da es ja bei allen anderen Files auch funktioniert. Habs mal mit einem .wmv File getestet grade und hab festgestellt das es damit z.b auch geht. Also er mag also nur .avi oder .divx nicht.

Könntest du bitte mal ein Beispiel geben wie man noch leicht aus dem Verzeichnis rauskommt? Ich hab eben mal was getestet in einen anderen Pfad zuspringen aber das hat nicht geklappt. Deswegen dachte ich das wäre dagegen abgesichert. Wäre dir für ein Beispiel sehr dankbar.

**Kropff** · 24.07.2010, 15:33

Nimm mal probehalber anstelle von

PHP-Code:


flush();

readfile($folder."/".$_GET['filename']);

    

// Exit the Script

exit;

ein

PHP-Code:


$file = file_get_contents($folder."/".$_GET['filename']);

echo $file;

Peter

**2Bad4You** · 24.07.2010, 15:43

Ahhhh damit kommt man der Sache schon näher. Jetzt steht eine Fehlermeldung drin in dem gedownloadeten File. Ich habe gar nicht mehr dran gedacht dass das ganze eventuell kein Datei Problem sondern ein Memory Problem sein kann. Folgende Fehlermeldung steht nämlich jetzt drin:

Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 731727872 bytes) in G:\xampp\htdocs\filesbay\index.php on line 359

Daran hatte ich gar nicht mehr gedacht dass es da zu Problemen kommen kann ... Danke

**wahsaga** · 24.07.2010, 16:13

Zitat von 2Bad4You Beitrag anzeigen

Der Downloadteil des Scriptes sieht jetzt so aus:

PHP-Code:


if($action == "downloadFile")

Und wo kommt $action her?

**2Bad4You** · 24.07.2010, 16:57

$action kommt aus dem $_GET Array.

PHP-Code:


if(!isset($_GET['action']) || ($_GET['action'] == ""))        // If action Atribute is empty set $action to login

{

    $action = "login";    // If Empty set to default: login

}

else

{

    $action = $_GET['action']; // IF Not Empty set to provided Action

}

Habe nicht das komplette Script gepostet, sondern nur den für den download relevanten Teil.

Video Datei Download