17/06/07 13:15
xander
Salve a tutti !
Io ho realizzato uno script collegato al forum phpbb che ti permette di uppare dei file cioè se tu sei registrato al forum puoi inviare il file altrimenti no.
Solamente che ognuno può inserire l'estensione che vuole ad esempio se uno uppa un file .php appena preme su scarica si apre il file php senza che venga scaricato.
Secondo vuoi questo può essere pericoloso ?????
aaa
17/06/07 14:40
Shutdown
WARRIOR ma cosa dici?
Si può benissimo fare un "filtro"
ponendo dei controlli sul mimetype
del documento.
Il controllo, ti consiglio di farlo
lato server, quindi nello script
PHP che effettua il trasferimento
dall'HD all'host.
Ciao e alla prossima,
Niccolò.
aaa
17/06/07 15:04
Shutdown
"Bhe...piu che altro devi fare attenzione a non far eseguire nessuno script.."
Mi pare che lo diceva anche lui...
"se viene soltanto visualizzato il file, e non viene ne eseguito ne interpretato in qualche modo,"
Questa affermazione non arriva a nessuna conclusione.
"non penso ci siano problemi."
Non ci sono problemi? Beh... non direi...
Infatti se non si filtrano i documenti l'utente
può caricare quello che gli pare. In base
al documento caricato il web server interpreta,
spedisce, ecc...
Non penso che le due risposte (la mia e la tua)
equivalgano. Esprimono due messaggi diversi.
La mia consiglia di controllare il mimetpe,
la tua invece espone lo stesso problema in
termini diversi...
Comunque non te la prendere...
Io mi domandavo solo dove intendevi arrivare
con quella risposta...
Il tuo "non ci sono problemi" avrebbe
messo sicuramente nei guai il nostro amico.
Va be' dai...
Ci sentiamo alla prossima,
Niccolò.
Comunque SI'... Se l'utente carica file arbitrari e non controllati, potrebbe intenzionalmente mettere in pericolo la sicurezza del sito.
Ultima modifica effettuata da Shutdown 17/06/07 15:11
aaa
17/06/07 19:28
xander
Già me ne sono accorto quando uno ha caricato un file in html che mostrava come funzionava un alert.
Se è possibile mi potete per favore spiegare come faccio per fare in modo che possono essere uppati solo file rar ??? Cioè io pensavo ke asistevano delle variabili apposta ma non ne trovo. Grazie in anticipo !
aaa