Dzien dobry.
Stoje przed problemem stworzenia w miare bezpiecznego systemu uploadu plikow.
Dodatkowy klopot to to, ze nie moge nic grzebac i doinstalowywac na serwerze.

Googlam wiec od jakiegos czasu i narazie doszukalem sie jedynie tego, ze
generalnie przy uploadzie lepiej sprawdzac rozszerzenie pliku niz jego MIME. Jako dodatkowy bezpiecznik polecane jest getimagesize(). I to juz w zasadzie jest w miare niezle zabezpieczenie ( chyba ;-) ).

Teraz borykam sie z problemem plikow typu pdf, rar i zip. Jedyne co przychodzi mi do glowy to sprawdzanie po rozszerzeniu. Czy da sie to jakos lepiej zabezpieczyc ?

pozdrawiam
Grzegorz

Skrypt do obsługi pobierania:
header('Content-Type: application/force-download');
Wczesniej jeszcze musisz odpowiednie naglowki dopisac, nie pamietam jakie- znajdziesz sobie ; )
+ Ukrycie ścieżki do pliku + Zablokowanie bezposredniego pobierania w .htaccess tak, by tylko plik, zalozmy download.php mial dostep do zasobow.
No i do tego tak jak pisales sprawdzenie rozszerzenia
Oczywiscie ustaw niezmienna sciezke dla plikow tak, by download.php przypadkiem nei mial dostepu do wszystkich plikow na serwerze i... pewnie jeszcze cos by sie dalo dopisac, ale na razie wystarczy ; )

//EDIT
oczywiscie pisze o pozniejszej mozliwosci pobierania tych plikow, wtedy mozesz pozwolic na upload czegokolwiek, co ma dopuszczalny rozmiar i rozszerzenie.

Dziekuje za zainteresowanie i rady o pobieraniu.
Ale ja potrzebuje tylko uploadu.
Tak jak pisalem jesli chodzi o formaty graficzne duzo da sie wyfiltrowac, skalowac, zmieniac nazwy itp.
Ale co mozna jeszcze wymyslic przy zabezpieczaniu uploadu formatow pdf zip rar.

dziekuje

Ale co chcesz zabezpieczac dodatkowo? Nie wiem, uploaduj na tokenach, by nie mozna bylo co sekunde pliku wyslac i tyle. Najwazniejsze, to zabezpieczyc pozniej te pliki przed pobieraniem/uruchomieniem.

aha ok czyli generalnie jak ktos bedzie chcial uploadowac np zipa to niech go uploaduje ale potem trzeba zabezipeczyc sie w trakcie jego ewentualnego pobierania.

dzieki