[Erledigt] Datei-Upload - Sicherheit? - php.de

X

Elefterios

Dabei seit: 14.10.2010

Beiträge: 32
#1

[Erledigt] Datei-Upload - Sicherheit?

09.11.2010, 13:28

Hallo zusammen,

ich habe folgendes Problem und wäre für Hilfe dankbar.

Für einen Datei-Upload habe ich mir folgendes Verfahren überlegt:

PHP-Code:

move_uploaded_file($_FILES['datei']['tmp_name'], "upload/".$_FILES['datei']['name']."".txt");

Heißt beim Upload einer Datei, wird diese als Text-Datei gespeichert. Ich habe das für die sicherste Lösung gehalten, um potentielle Angriffe abzuwehren. Heißt wenn jemand eine schädliche Datei hochlädt, wird diese ausser gefecht gesetzt, da ich sie in .txt umwandle.

Bisher dachte ich, ich kann die Dateien dann runterladen, das .txt entfernen und sie lassen sich dann behandeln wie ursprünglich. Problem: Das klappt nicht.

Wenn ich beispielsweise eine .zip hoch lade, wird dieses als .zip.txt auf dem Server gespeichert. Beim herunterladen entferne ich das .txt, doch die Datei ist beschädigt und lässt sich nicht mehr öffnen.

Was mache ich falsch? Weiß einer wo das Problem liegt? Wie kann man den sonst noch schädliche Datein abfangen?

Vielen Dank!
Stichworte: -
lstegelitz

Dabei seit: 07.09.2009

Beiträge: 8771
#2

09.11.2010, 13:32

Zitat von Elefterios Beitrag anzeigen

Wenn ich beispielsweise eine .zip hoch lade, wird dieses als .zip.txt auf dem Server gespeichert. Beim herunterladen entferne ich das .txt, doch die Datei ist beschädigt und lässt sich nicht mehr öffnen.

Das kann man an der einen Zeile Code aber leider nicht erkennen..

Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.
Kommentar
bwoebi

Dabei seit: 07.07.2010

Beiträge: 384
#3

09.11.2010, 13:35

PHP-Code:

."".txt");

müsste es nicht

PHP-Code:

.".txt");

sein?
Kommentar
Elefterios

Dabei seit: 14.10.2010

Beiträge: 32
#4

09.11.2010, 14:35

Ja richtig

PHP-Code:

move_uploaded_file($_FILES['datei']['tmp_name'], "upload/".$_FILES['datei']['name'].".txt");

Aber das ist nicht das Problem, das als .txt speichern klappt ja.
Kommentar
lstegelitz

Dabei seit: 07.09.2009

Beiträge: 8771
#5

09.11.2010, 14:45

Soll ich mich zur Sicherheit nochmal selber zitieren?

Die eine Zeile Code steht in keiner Relation zum Problem... zeig
- Das HTML Formular für den Upload
- den (vollständigen) PHP Code, der den Upload verarbeitet (check, move, rename, delete, ...)
- den (vollständigen) PHP Code, der die Datei wieder zum Download anbietet bzw. ausliefert

Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.
Kommentar
Elefterios

Dabei seit: 14.10.2010

Beiträge: 32
#6

09.11.2010, 18:53

Formular:

PHP-Code:

<form action="/upload.php" method="post" enctype="multipart/form-data"> <input type="file" name="file"><br> <input type="submit" value="Hochladen"> </form>

upload.php

PHP-Code:

<?php move_uploaded_file($_FILES['file']['tmp_name'], "upload/" . $_FILES['file']['name'] . ".txt"); echo "<p>Upload der Datei " . $_FILES['file']['name'] . " erfolgreich!</p>";
Kommentar
Elefterios

Dabei seit: 14.10.2010

Beiträge: 32
#7

09.11.2010, 18:54

Formular:

PHP-Code:

<form action="/upload.php" method="post" enctype="multipart/form-data"> <input type="file" name="file"><br> <input type="submit" value="Hochladen"> </form>

upload.php

PHP-Code:

<?php move_uploaded_file($_FILES['file']['tmp_name'], "upload/" . $_FILES['file']['name'] . ".txt"); echo "<p>Upload der Datei " . $_FILES['file']['name'] . " erfolgreich!</p>";

download.php gibt es nicht
Kommentar
lstegelitz

Dabei seit: 07.09.2009

Beiträge: 8771
#8

10.11.2010, 10:36

Woher kommt die Datei dann beim Download?

Zitat von Elefterios Beitrag anzeigen

Beim herunterladen entferne ich das .txt, doch die Datei ist beschädigt und lässt sich nicht mehr öffnen.

Du hast Null Fehlerbehandlung im Script. Setz an den Anfang der upload.php die Zeilen:

PHP-Code:

error_reporting(-1); ini_set('display_errors', 1);

Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.
Kommentar
Elefterios

Dabei seit: 14.10.2010

Beiträge: 32
#9

11.11.2010, 20:14

Ich lade die Dateien direkt über FTP runter.

Den Code habe ich eingefügt.
Kommentar
bitsnack

Dabei seit: 01.08.2010

Beiträge: 352
#10

11.11.2010, 20:22

Wie wärs wenn du dir einfach ein anderes Sicherheitskonzept überlegst als einfach .txt als Dateiendung anzuhängen? .htaccess z.B.?
Deine Lösung erscheint mir nicht wirklich gut...

Programming today is a race between developers striving to build better idiot-proof programs, and the universe trying to produce better idiots. So far, the universe is winning.
Kommentar
ChrisB

Dabei seit: 28.03.2010

Beiträge: 7468
#11

11.11.2010, 20:29

Zitat von Elefterios Beitrag anzeigen

Ich lade die Dateien direkt über FTP runter.

Und dabei wird vermutlich dein FTP-Programm auf Grund der Dateiendung .txt automatisch ASCII als Transfermodus wählen,
damit werden die unterschiedlichen Zeilenumbruchformate zwischen den unterschiedlichen Betriebssystemen automatisch konvertiert,
und damit hast du Datenmüll, weil zip- nun mal keine Textdateien sind.

Den Transfermodus explizit auf Binär zu stellen, dürfte dieses „Problem“ also ziemlich sicher lösen;
daran, dass das Verfahren an sich nicht viel taugt, wie andere Poster schon anmerkten, ändert es natürlich wenig.

[SIZE="1"]RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?[/SIZE]
Kommentar
Elefterios

Dabei seit: 14.10.2010

Beiträge: 32
#12

12.11.2010, 17:18

Ok, das war das Problem danke.

Wenn ich direkt einen Download-Link generieren lassen und dann herunterlade klappt es.

Danke!
Kommentar

Vorherige Weiter

Lädt...

X