העלאת תמונה. - הוסטס

morsrh · 23-01-11, 18:40

יש לי את הקוד הזה http://pastebin.com/6fHJDmvL .
עכשיו השאלה שלי היא האם הקוד הזה ובטוח ואין בו פירצות כאלה ואחרות בשם או בקובץ אבטחה וכאלה שטויות והאם הקוד הוא נראה בסדר בעין מבחינה של ייעילות ובכללי.
תודה.

BlueNosE · 23-01-11, 19:12

unknown paste

morsrh · 23-01-11, 22:28

עשיתי שזה ישמר לשעה ...
הנה קישור חדש : http://pastebin.com/EqAZc3yJ
אם לא עובד (גם יותר נקי מבחינת הקוד) : http://pastebin.com/ujn12UrL
תודה.

~The_Sultan~ · 24-01-11, 09:08

תאבטח גם את שם הקובץ עצמו (וגם זה יעזור לך עם בעיות תקינות, כמו למשל עברית), לדוגמה:

PHP קוד:


			
$name = preg_replace("/[^0-9A-Za-z]/", "", $name);

וגם הייתי מציע לעשות עוד בדיקה לסוג הקובץ, משהו בסיגנון הזה:

PHP קוד:


			
$efilename = explode(".", $_FILES['file_name']['name']); 

$ext = $efilename[count($efilename) - 1];

if ($ext != "jpg")

    echo "Wrong file type";

בהצלחה

morsrh · 24-01-11, 15:11

אחלה , הינה קוד עדכני יותר
http://pastebin.com/ymdk8n5H
מה יש עכשיו לשפר בנוגע לאבטחה וכל מיני שטויות אחרות?

~The_Sultan~ · 24-01-11, 17:24

תאבטח כמו שאמרתי את שם הקובץ עצמו,
ואני מניח שהתבלבלת קצת - המערך TYPES הוא כנראה מכיל פורמטים מותרים? אז אתה צריך לשנות את השורה של הבדיקה לשורה שאמורה להחזיר לך FALSE:

PHP קוד:


			
if (!(in_array($type , $TYPES)))

morsrh · 24-01-11, 18:02

אה וואלה כן , בלבול של רגע , ד"א זה נראה בכללי בסדר לעין ולא יעשה בעיות של אבטחה בהמשך?

~The_Sultan~ · 24-01-11, 18:45

אני לא אשף בהעלאת קבצים, אבל בכל זאת תוסיף את הסינון של תווים לא חוקיים בשם הקובץ. זה ימנע בעתיד בעיות גם בקידוד.
אל תשכח לעשות כמובן גם בדיקות בצד הלקוח בעזרת JS לפני שאתה מעלה את הטופס.
אם אתה רוצה לאפשר להעלות רק תמונות, אז אני זוכר שיש קטע שאפשר לשמור קובץ טקסט (TXT) ואז לשנות לו את הפורמט ל-gif והשרת יחשוב שזה תמונה סתם ככה כי אין פה בדיקה לעומק של הקובץ, ולכן אם ייכנסו לקובץ הזה בשרת שלך יראו את התוכן של קובץ הטקסט. בחיים לא ניסיתי לתקן את הבאג, אבל אולי אפשר באמצעות ניתוח הנתונים של התמונה עם getimagesize(). היא בטח תחזיר false, אם זו לא תמונה אמיתית.

בהצלחה.

23-01-11, 18:40	# 1
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	העלאת תמונה. יש לי את הקוד הזה http://pastebin.com/6fHJDmvL . עכשיו השאלה שלי היא האם הקוד הזה ובטוח ואין בו פירצות כאלה ואחרות בשם או בקובץ אבטחה וכאלה שטויות והאם הקוד הוא נראה בסדר בעין מבחינה של ייעילות ובכללי. תודה.

23-01-11, 19:12	# 2
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	unknown paste __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

23-01-11, 22:28	# 3
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	עשיתי שזה ישמר לשעה ... הנה קישור חדש : http://pastebin.com/EqAZc3yJ אם לא עובד (גם יותר נקי מבחינת הקוד) : http://pastebin.com/ujn12UrL תודה. Last edited by morsrh; 23-01-11 at 23:14..

24-01-11, 09:08	# 4
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	תאבטח גם את שם הקובץ עצמו (וגם זה יעזור לך עם בעיות תקינות, כמו למשל עברית), לדוגמה: PHP קוד: `$name = preg_replace("/[^0-9A-Za-z]/", "", $name);` וגם הייתי מציע לעשות עוד בדיקה לסוג הקובץ, משהו בסיגנון הזה: PHP קוד: `$efilename = explode(".", $_FILES['file_name']['name']); $ext = $efilename[count($efilename) - 1]; if ($ext != "jpg") echo "Wrong file type";` בהצלחה

24-01-11, 17:24	# 6
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	תאבטח כמו שאמרתי את שם הקובץ עצמו, ואני מניח שהתבלבלת קצת - המערך TYPES הוא כנראה מכיל פורמטים מותרים? אז אתה צריך לשנות את השורה של הבדיקה לשורה שאמורה להחזיר לך FALSE: PHP קוד: `if (!(in_array($type , $TYPES)))`


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

24-01-11, 15:11	# 5
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	אחלה , הינה קוד עדכני יותר http://pastebin.com/ymdk8n5H מה יש עכשיו לשפר בנוגע לאבטחה וכל מיני שטויות אחרות?

24-01-11, 18:02	# 7
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	אה וואלה כן , בלבול של רגע , ד"א זה נראה בכללי בסדר לעין ולא יעשה בעיות של אבטחה בהמשך?

24-01-11, 18:45	# 8
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	אני לא אשף בהעלאת קבצים, אבל בכל זאת תוסיף את הסינון של תווים לא חוקיים בשם הקובץ. זה ימנע בעתיד בעיות גם בקידוד. אל תשכח לעשות כמובן גם בדיקות בצד הלקוח בעזרת JS לפני שאתה מעלה את הטופס. אם אתה רוצה לאפשר להעלות רק תמונות, אז אני זוכר שיש קטע שאפשר לשמור קובץ טקסט (TXT) ואז לשנות לו את הפורמט ל-gif והשרת יחשוב שזה תמונה סתם ככה כי אין פה בדיקה לעומק של הקובץ, ולכן אם ייכנסו לקובץ הזה בשרת שלך יראו את התוכן של קובץ הטקסט. בחיים לא ניסיתי לתקן את הבאג, אבל אולי אפשר באמצעות ניתוח הנתונים של התמונה עם getimagesize(). היא בטח תחזיר false, אם זו לא תמונה אמיתית. בהצלחה.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)