Czy można jakoś zabezpieczyć skrypt, żeby mógł usuwać pliki z tylko jednego katalogu ? Niechciełbym, żeby ktoś przy użyciu własnego formulaża wyczyścił mi stronę.

eeeee ?

Udostępniasz komuś konto czy o co Ci chodzi ?

Czy może masz formularz w którym użytkownik może wpisywać komendy php.

Mam strenke, która robie z kumplami, i zrobiłem taki panel do uploadowania plików, dodawania i edycji artykułow itp. A jak jest upload, to kasować pliki też by pasowało. Tylko któremuś może odstrzelić, i zacznie coś zmieniać, to może popsuć pare rzeczy, i dlatego chciałbym wiedzieć, czy da się ograniczyć kasowanie plików do tylko jednego katalogu ?

Obowiam sie ze nie... .htaccess'em mozna probowac ale to.... roznie bywa.

Najbezpieczniej bedzie wylaczyc mozliwosc uploadu plikow, ktore sa interpretowane przez paser php...

A co do kasowania to możesz dać możliwość kasowania tylko tych plików które były zuploadowane przez www ... trzymaj ich nazwy czy id w mysql'u

A w jaki sposób można przerobić taki skrypcik, aby przepuszczał tyylko *.jpeg, *.jpg, *.gif i *.png ?

[PHP] pobierz, plaintext 
if (!isSet($_FILES['myfile']))
	{
?>
<form enctype=\"multipart/form-data\" action=\"<?= $PHP_SELF ?>\" method=\"post\">';
<input type=\"file\" name=\"myfile\">
<input type=\"submit\" value=\"submit\">
<input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"10000\">
</form>
<?php
	}
else
	if (is_uploaded_file($_FILES['myfile']['tmp_name']))
		{
		move_uploaded_file($_FILES['myfile']['tmp_name'], &#092;"picture/\".$_FILES['myfile']['name']);
		echo &#092;"Udany upload pliku!\";
		}
	else
		die('Próba ataku! Plik: ' . $_FILES['myfile']['name']);
[PHP] pobierz, plaintext 

Próbowałem się z tym zmierzyć, ale niewyszło :/

Poczytej o MIME Types

[PHP] pobierz, plaintext 
<?php
 
$_FILES['nazwa']['type']; // Zwraca MIME uploadowanego pliku
 
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
$deny = array( 'php', 'php3', 'php4' );
if( in_array( array_pop( explode( '.', $_FILES['myfile']['name'] ) ), $deny ) ) { // moglem cos zle zamkac bo z glowy;)
echo 'plikow php nie chcemy :)';
}else{
 
		move_uploaded_file($_FILES['myfile']['tmp_name'], &#092;"picture/\".$_FILES['myfile']['name']);
		echo &#092;"Udany upload pliku!\";
}
?>
[PHP] pobierz, plaintext 

Hwao myślę że MIME jest bardziej bezpieczne ... nie sprawdza nazwy pliku a zawartość (nagłówek pliku).

ale apache(serwer) pliki wysyla do paser'a wg rozszerzen nie wazna jest dla niego zawartosc poszukuje tagow php
Btw: dorzuc do tablicy plik .htaccess zeby nikc Ci konfiguracji nie zmienil

No i o tym własnie mówię.

Ktoś wrzuci plik *.HTML z tagami php i będzie włączone parsowanie plików HTML i Twój skrypt już się wysypie. A przez MIME by to nie przeszło.

To juz zalezy od ustawien serwera przecierz wie jakie roszerzneia sa interpretowane... jakby zrobil tak jak Ty proponujesz to by zwyklego pliku txt nie mogl wrzucic... a tak to wygklucza tylko te interpretowane przez php + konfiguracje servera apache

Ale on chce mieć akceptowane tylko obrazki.

a tak btw można sprawdzić MIME + rozszeżenie ...

To samo sie tyczy wgrywania Execów

Mozna to zawsze przerobic na rozszerzenia tylko dopuszczane + mime type

Mi sie wydawalo ze autor nie chce poprosu zeby ktos mu w php na mieszal wiec napisalem taki kod.

Próbowałem sprawdzić typ mime (a tak bardziej to rozszerzenie), ale niewyszło .
____________________

edit: A jak będe miał plik np. index.gif.php to przejdzie przez ten twój skrypt, HWAO ?

Moj skrypt sprawdz ostanie po kropce wiec takie jak iest interpretowane przez php wiec powino byc wszytko ok.

cost.lala.icos.php - lapie kocnowke czyli php

Super HWAO !
Jesteś Wielki !
PS. Dzięki Kuziu za pomysł z mime