Oppure

Loading
17/06/07 13:15
xander
Salve a tutti !
Io ho realizzato uno script collegato al forum phpbb che ti permette di uppare dei file cioè se tu sei registrato al forum puoi inviare il file altrimenti no.
Solamente che ognuno può inserire l'estensione che vuole ad esempio se uno uppa un file .php appena preme su scarica si apre il file php senza che venga scaricato.
Secondo vuoi questo può essere pericoloso ?????
aaa
17/06/07 14:30
WARRIOR
Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script..se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo, non penso ci siano problemi.:k:
aaa
17/06/07 14:40
Shutdown
WARRIOR ma cosa dici?

Si può benissimo fare un "filtro"
ponendo dei controlli sul mimetype
del documento.

Il controllo, ti consiglio di farlo
lato server, quindi nello script
PHP che effettua il trasferimento
dall'HD all'host.

Ciao e alla prossima,
Niccolò.
aaa
17/06/07 14:46
WARRIOR
praticamente quello che ho detto io -_- ;)
aaa
17/06/07 15:04
Shutdown
"Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script.."

Mi pare che lo diceva anche lui...

"se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo,"

Questa affermazione non arriva a nessuna conclusione.

"non penso ci siano problemi.:k:"

Non ci sono problemi? Beh... non direi...
Infatti se non si filtrano i documenti l'utente
può caricare quello che gli pare. In base
al documento caricato il web server interpreta,
spedisce, ecc...

Non penso che le due risposte (la mia e la tua)
equivalgano. Esprimono due messaggi diversi.

La mia consiglia di controllare il mimetpe,
la tua invece espone lo stesso problema in
termini diversi...

Comunque non te la prendere... ;)
Io mi domandavo solo dove intendevi arrivare
con quella risposta...

Il tuo "non ci sono problemi" avrebbe
messo sicuramente nei guai il nostro amico.

Va be' dai...
Ci sentiamo alla prossima,
Niccolò.

Comunque SI'... Se l'utente carica file arbitrari e non controllati, potrebbe intenzionalmente mettere in pericolo la sicurezza del sito.
Ultima modifica effettuata da Shutdown 17/06/07 15:11
aaa
17/06/07 18:23
WARRIOR
Lui ipotizzava di avere un sistema dove ogni utente poteva caricare i file con una qualsiasi estensione, senza preoccuparsi di quest'ultima.
Non di un sistema che controllava tutti i file in entrata ;) .
Cmq si è potenzialmente pericoloso.
aaa
17/06/07 19:28
xander
Già me ne sono accorto quando uno ha caricato un file in html che mostrava come funzionava un alert.
Se è possibile mi potete per favore spiegare come faccio per fare in modo che possono essere uppati solo file rar ??? Cioè io pensavo ke asistevano delle variabili apposta ma non ne trovo. Grazie in anticipo !
aaa
17/06/07 22:40
Shutdown
Appena posso (penso a mezzogiorno) ti
posto un esempio, okay? ;)

@ WARRIOR:
Veramente l'estensione non comporta nulla...
Infatti nessuno mi impedisce di salvare uno script
PHP nel file "file.jpg"...
Un documento viene riconosciuto in base alla
sua intestazione e composizione...
Si ritorna al mimetype...
Dai basta...
Come si fa a ragionare così? :)
aaa