upload Script

Schniper · 10.05.2009, 15:32

Hallo leute

ich hab mir ein uploadscript auf php.de gezoggen
http://www.php.de/php-fortgeschritte...hochladen.html (Dateien mit PHP Hochladen)
so dies funtioniert einwandfrei auser dass wenn man des bild hochgeladen hatt diese fehlermeldung kommt

Datei ist in Ordnung und Sie wurde erfolgreich hochgeladen.Hier sind die Fehler informationen:
Array
(
[userfile] => Array
(
[name] => weiterempfehlen.php
[type] => application/octet-stream
[tmp_name] => C:\xampp\tmp\php8867.tmp
[error] => 0
[size] => 3846
)

)

aber des bild ist trotzdem hochgeladen

und zweitens wollt ich fragen ob dieses upload script überhaupt sicher is?? weil ich kann auch php dateien hochladen und damit die Homepage down machen wenn sich jemand damit auskenntt

Flor1an · 10.05.2009, 15:54

Wo ist da ein Fehler?

Und sicher ist es natürlich nicht wenn du PHP Dateien hochladen kannst. Du darfst die Dateien natürlich nicht mit .php abspeichern bzw. wenn schon dann dürfen diese Dateien nicht im Ordner liegen die vom Web aus zugänglich sind.

Die Frage ist halt wofür du den Upload brauchst, nur dann kann man auch gute Ideen einbringen.

Schniper · 10.05.2009, 15:58

ja also es ist keine fehler drinn nur die fehlermeldung wir immer gleich augespuckt momentan liegt die datei nür für die im adminberreich vor von dem her muss es au nicht sooo sicher sein aber paar kleine standarts sollte es haben

erc · 10.05.2009, 16:00

Zitat:

Zitat von Flor1an

Wo ist da ein Fehler?

Schau dir mal das "orginal" an. Das gibt in egal ob erfolgreich oder nicht eine Fehlermeldung aus.

Zitat:

Zitat von Flor1an

Und sicher ist es natürlich nicht wenn du PHP Dateien hochladen kannst. Du darfst die Dateien natürlich nicht mit .php abspeichern bzw. wenn schon dann dürfen diese Dateien nicht im Ordner liegen die vom Web aus zugänglich sind.

Selbst das ist unter umständen noch eher kritisch.

Flor1an · 10.05.2009, 16:04

Zitat:

Zitat von erc

Schau dir mal das "orginal" an. Das gibt in egal ob erfolgreich oder nicht eine Fehlermeldung aus.

Naja es tritt kein Fehler auf ... es wird nur nen Text angezeigt und dazu das Array das in $_FILE steht ... das sollte ja kein Problem darstellen.

Zitat:

Zitat von erc

Selbst das ist unter umständen noch eher kritisch.

Sollte es eigentlich nicht. Denn wenn deine SKripte irgendwelche PHP Dateien einbinden dürfen hast du sowieso schon ein Problem. Aber du hast schon recht. Dateien sollte man nie als, vom Apache als PHP Files geparste, Dateien speichern.

Schniper · 10.05.2009, 16:12

wie beschränke ich die uploads nur auf bild dateien??

Flor1an · 10.05.2009, 16:15

Indem du den Filetyp überprüfst und anhand einer Whitelist überprüfst ob die Datei den entsprechenden Mimetyp besitzt. Aufpassen musst du hier nur dass in $_FILE NICHT der richtige Mimetyp stehen muss. Daher musst du das explizit mit einer anderen Funktion nochmal prüfen.

Schniper · 10.05.2009, 16:52

und wie soll diese andere funcktion aussehen??

rossixx · 10.05.2009, 17:11

vielleicht solltest du dir ein buch zum thema sicherheit kaufen ?!

vielleichtdas hier : PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren: Christopher Kunz, Stefan Esser: Amazon.de: Bücher

nicht das ich werbung machen will, manche anfragen hier im forum sind etwas nervig. zb. schau mal hier , schau mal da , wie sicher ist dies wie unsicher jenes...

Schniper · 10.05.2009, 17:13

dieses buch beitz ich schon bin aber noch nicht dazu gekommen es zu lessen und ich brauch so schnell wie möglich und nicht erst wenn ich des buch durchgelesen hab

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Simples Upload Script	Turbo Freddy	PHP Tipps 2008	35	18.12.2008 20:44
[Erledigt] Suche ein Upload script....HELP	SendoX	Beitragsarchiv	0	14.12.2008 21:09
Upload Script	andi	PHP Tipps 2008	2	17.07.2008 22:43
Probelem bei meinem Upload Script für Bilder	wiegia086	PHP Tipps 2006	3	17.03.2006 09:14
upload script mit verkleinung von bildern	wiegia086	PHP Tipps 2006	6	02.03.2006 16:28
Upload Script		PHP Tipps 2006	1	19.02.2006 17:23
Suche Upload Script		Beitragsarchiv	1	20.07.2005 15:26
Upload Script		PHP Tipps 2005-2	8	01.07.2005 08:45
picture upload script läuft nicht		PHP Tipps 2005-2	11	30.06.2005 15:14
[Erledigt] [PHP] Problem mit Script fuer Browserbasierten Upload		PHP-Fortgeschrittene	5	26.12.2004 13:49
Upload Script	Juuro	PHP Tipps 2004-2	1	21.12.2004 07:34
Ich bin auf der Suche nach einem fertigen Menü Upload Script		Beitragsarchiv	7	22.08.2004 18:53
image upload script		PHP Tipps 2004	3	15.08.2004 20:18
Problem beim Upload mehrerer Dateien per Script		PHP Tipps 2004	1	04.08.2004 16:26

10.05.2009, 15:32
Schniper Erfahrener Benutzer Registriert seit: 29.12.2008 Beiträge: 105	upload Script Hallo leute ich hab mir ein uploadscript auf php.de gezoggen http://www.php.de/php-fortgeschritte...hochladen.html (Dateien mit PHP Hochladen) so dies funtioniert einwandfrei auser dass wenn man des bild hochgeladen hatt diese fehlermeldung kommt Datei ist in Ordnung und Sie wurde erfolgreich hochgeladen.Hier sind die Fehler informationen: Array ( [userfile] => Array ( [name] => weiterempfehlen.php [type] => application/octet-stream [tmp_name] => C:\xampp\tmp\php8867.tmp [error] => 0 [size] => 3846 ) ) aber des bild ist trotzdem hochgeladen und zweitens wollt ich fragen ob dieses upload script überhaupt sicher is?? weil ich kann auch php dateien hochladen und damit die Homepage down machen wenn sich jemand damit auskenntt


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

10.05.2009, 15:54
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Wo ist da ein Fehler? Und sicher ist es natürlich nicht wenn du PHP Dateien hochladen kannst. Du darfst die Dateien natürlich nicht mit .php abspeichern bzw. wenn schon dann dürfen diese Dateien nicht im Ordner liegen die vom Web aus zugänglich sind. Die Frage ist halt wofür du den Upload brauchst, nur dann kann man auch gute Ideen einbringen.

10.05.2009, 15:58
Schniper Erfahrener Benutzer Registriert seit: 29.12.2008 Beiträge: 105	ja also es ist keine fehler drinn nur die fehlermeldung wir immer gleich augespuckt momentan liegt die datei nür für die im adminberreich vor von dem her muss es au nicht sooo sicher sein aber paar kleine standarts sollte es haben

10.05.2009, 16:12
Schniper Erfahrener Benutzer Registriert seit: 29.12.2008 Beiträge: 105	wie beschränke ich die uploads nur auf bild dateien??

10.05.2009, 16:15
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Indem du den Filetyp überprüfst und anhand einer Whitelist überprüfst ob die Datei den entsprechenden Mimetyp besitzt. Aufpassen musst du hier nur dass in $_FILE NICHT der richtige Mimetyp stehen muss. Daher musst du das explizit mit einer anderen Funktion nochmal prüfen.

10.05.2009, 16:52
Schniper Erfahrener Benutzer Registriert seit: 29.12.2008 Beiträge: 105	und wie soll diese andere funcktion aussehen??

10.05.2009, 17:11
rossixx Neuer Benutzer Registriert seit: 06.05.2009 Beiträge: 5	wer lesen kann ist klar im vorteil vielleicht solltest du dir ein buch zum thema sicherheit kaufen ?! vielleichtdas hier : PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren: Christopher Kunz, Stefan Esser: Amazon.de: Bücher nicht das ich werbung machen will, manche anfragen hier im forum sind etwas nervig. zb. schau mal hier , schau mal da , wie sicher ist dies wie unsicher jenes...

10.05.2009, 17:13
Schniper Erfahrener Benutzer Registriert seit: 29.12.2008 Beiträge: 105	dieses buch beitz ich schon bin aber noch nicht dazu gekommen es zu lessen und ich brauch so schnell wie möglich und nicht erst wenn ich des buch durchgelesen hab