Już nie wiem, czemu żadne sprawdzanie rozszerzenia pliku nie działa.

[PHP] pobierz, plaintext 
<form enctype='multipart/form-data' action='upload.php' accept='image/jpeg,image/gif' method='POST'> 
[PHP] pobierz, plaintext 

To nie działa..

[PHP] pobierz, plaintext 
$allowed = array('gif', 'jpg', 'ico', 'bmp', 'jpeg', 'png');
 
 
// sprawdzamy rozszerzenie
if(in_array(strtolower($sp[1]), $allowed)) {
[PHP] pobierz, plaintext 

To działa, ale jak plik będzie się nazywał xxxx.jpg.php to wrzuca.

Sprawdzaj typ mime przesłanego pliku (czy $_FILES['NAZWA']['type'] zawiera ciąg: 'images/'), dodatkowo - jeśli chcesz ograniczyć typy przesyłanych plików np. tylko do obrazków - możesz posłużyć się funkcją getimagesize. Ale i tak nigdy nie będzie pewności, ponieważ można te wszystkie zabiegi ominąć przy odpowiednim nakładzie pracy.

Podstawowe pytanie gdzie chcesz sprawdzać to rozszerzenie, po stronie klienta czy po stronie serwera?

[HTML] pobierz, plaintext 
<form enctype='multipart/form-data' action='upload.php' accept='image/jpeg,image/gif' method='POST'> 
[HTML] pobierz, plaintext 

accept w tym przypadku mówi przeglądarce jakie typy plików powinny być wysyłane na serwer i dobra przeglądarka internetowa na podstawie tej informacji powinna umożliwić wybór z lokalnego systemu tylko pliki o takim MIME

natomiast:

[PHP] pobierz, plaintext 
$allowed = array('gif', 'jpg', 'ico', 'bmp', 'jpeg', 'png');
// sprawdzamy rozszerzenie
if(in_array(strtolower($sp[1]), $allowed)) { ...
[PHP] pobierz, plaintext 

to chyba jakieś delikatne nieporozumienie, niby co ma robić ten kod?

Sprawdzać czy rozszerzenie pliku, które znajduje się w $sp[1] jest w tablicy dozwolonych rozszerzeń Ale właśnie TursoN wyprintuj sobie zawartość $sp[1] i upewnij się czy na pewno tam znajduje się rozszerzenie przesłanego pliku.

Sprawdzanie mime, jak już gdzieś pisałem, to bardzo słaba opcja : d Najlepiej explode wg kropek po nazwie pliku, i odwołanie się do ostatniego elementu tablicy, którą zwróci owa funkcja

Widmo... A żeś strzelił poducha.exe.jpg I właśnie na Twoim serwerze znajdować się może trojan bo byłeś idiotą i sprawdzałeś tylko ostatni element wpisany by zmylić. To jest jeszcze banalniejsze do zrobienia niż podmiana MIME, bo może to zrobić każdy zmieniając po prostu nazwę pliku. Poziom zabezpieczeń masz w tym momencie do obejścia przez kilkulatka

I się zaczyna, nikt nie pisze konkretów, tylko robi polewę. A taki kod lepszy:?

[PHP] pobierz, plaintext 
$sp = explode(".",$plik);
$c_sp = count($sp) - 1;
if ( $sp[$c_sp] == "gif" 
	or $sp[$c_sp] == "jpg"
	or $sp[$c_sp] == "jpeg"
	or $sp[$c_sp] == "png"
	or $sp[$c_sp] == "rar"
	or $sp[$c_sp] == "zip"
	or $sp[$c_sp] == "pdf"
	or $sp[$c_sp] == "psd" ) {
	echo 'dobre';
} else {
	echo 'złe';
}
[PHP] pobierz, plaintext 

Choć na tablicy jeszcze lepiej...

Znacząco gorszy.

[PHP] pobierz, plaintext 
<?php
 
$allowedExtensions = array('jpg', 'e.t.c.');
$extension = end(explode('.', $file));
if (in_array($extension, $allowedExtensions)) {
    // dobrze
} else {
    // źle
}
 
?>
[PHP] pobierz, plaintext 

thek: trojan w jpgu? Nie szkodzi Ciekawe jak ktoś mi go odpali na serwerze

A jak w nazwie będzie więcej kropek zadziała?

To czy plik ma kropki czy nie to bez znaczenia, gorzej z rozszerzeniem.
Zadziała dla rozszerzeń bez kropek. Czyli dla .tar.gz będzie problem.

Czyli ten jest bezpieczniejszy?

No pomyśl trochę. Czy jeden kod, który sprawdza rozszerzenie jest bezpieczniejszy od drugiego, który również sprawdza rozszerzenie?
Raczej nie. Chodzi o wygodę i względnie lepszy kod.

Jeśli interesuje Cię bezpieczeństwo to podejście do typu pliku powinno byc takie, że najpierw wstępnie weryfikujesz rozszerzenie a później sprawdzasz MIME.

Bezpieczniejszy pod względem, że nie przepuszcza plików, które w nazwie jedynie mają .jpg, np. plik.jpg.php

Normalnie. Wystarczy np. używać zbugowanych skryptów podatnych na LFI/RFI. W EXIF-ach dla JPEG można osadzać komentarze. I bez problemu także kod PHP. Binarna sieczka przed listingiem zostanie zignorowana, a kod backdoora zostanie wykonany.

Więc NAPRAWDĘ pewny upload =

• sprawdzenie MIME po stronie SERWERA (ta zawarta w $_FILES pochodzi od przeglądarki; da się ominąć). Jak? Rozszerzenie mime_magic albo odpalenie polecenia file -bi plik i pobranie właściwego typu
• przeszukanie pliku pod kątem kodu PHP
• trzymanie plików poza katalogiem publicznym bądź kompletne wyłączenie interpretera w konkretnym katalogu

Dlaczego tak radykalnie? Pewnie ktoś pomyśli, że to na pewno się nie wydarzy? Niestety, miałem kiedyś coś takiego w skrypcie SMF (pisałem kiedyś na forum wątek na ten temat), w katalogu skryptu zaroiło się od trojanów w PHP, które prawdopodobnie miały za zadanie powysyłać trochę spamu i zainfekować inne serwery. Load - oczywiście - wzrósł.

A sprawdzanie rozszerzenia można kompletnie olać.

[PHP] pobierz, plaintext 
$permittedFiles = array("jpg","png","gif","jpeg","doc","docx","txt","xls", "xlsx", "pdf");
$ext = strtolower(substr($_FILES['Filedata']['name'],strrpos($_FILES['Filedata']['name'],'.')+1));
                if(in_array($ext,$permittedFiles)){
                    move_uploaded_file($tempFile,$targetFile);
                }else die("Niedozwolony format pliku");
[PHP] pobierz, plaintext 

na podobnej zasadzie można mime sprawdzać

A przeczytałeś mojego posta?

~erix
1. Czy jest jakaś równie dobra alternatywa dla mime_magic?
2. W jaki sposób można wyłączyć interpreter php w konkretnym katalogu?

Tej opcji nie brałem pod uwagę, takie błędy raczej rzadko się zdarzają myślącym programistom

Jak napisałem - odpalenie polecenia systemowego file -bi plik i analiza zwróconej zawartości (konkretnie zwraca MIME).


Zależy od serwera. Ale na 90% wystarczy w htaccess http://httpd.apache.org/docs/1.3/mod/mod_m...l#removehandler dla MIME odpowiadającemu interpreterowi.


Jeśli chodzi o zabezpieczenia, to skromność zawsze popłaca. Poza tym, rzadko a nigdy, to jak pomyłka u sapera. Pomyli się tylko raz.

Dzięki.

Też prawda

[PHP] pobierz, plaintext 
<?php
 
$allowedExtensions = array('jpg', 'e.t.c.');
$extension = end(explode('.', $file));
if (in_array($extension, $allowedExtensions)) {
    // dobrze
} else {
    // źle
}
 
?>
[PHP] pobierz, plaintext 

[/quote]

Gdy mam ten skrypt,
} else {
echo "blaaaa!"
}

Wgrywając plik jpg wyskakuje ten błąd ^^

Użyj tego jeżeli chodzi o samo sprawdzenie nazwy działa dobrze

[PHP] pobierz, plaintext 
$permittedFiles = array("jpg","png","gif","jpeg","doc","docx","txt","xls", "xlsx", "pdf");
$ext = strtolower(substr($_FILES['Filedata']['name'],strrpos($_FILES['Filedata']['name'],'.')+1));
                if(in_array($ext,$permittedFiles)){
                    move_uploaded_file($tempFile,$targetFile);
                }else die("Niedozwolony format pliku");
[PHP] pobierz, plaintext 

Mógłby ktoś potwierdzić, czy będzie to dobre?

Powiem w ten sposób to sprawdza tylko i wyłącznie końcówkę z nazwy pliku np aaaaaaa uzna za błędne, aaaaa.jpg uzna za poprawne (znajduję się w tablicy rozszerzenie), aaaa.php.jpg też uzna za poprawne, ale asdasd.jpg.php już nie.

To nie sprawdza mime pliku erix opisał jak to zrobić.