{% else-1 %}
Обновить | Подписаться | Поднять тему
Чтобы выполнить действие авторизируйтесь или пройдите регистрацию на сайте.
1.
Danya * 0.28
[автор] (15 дек 2015, 21:09) [1/0] [1] [отв] [спам] [под] +1 | -1

Привет мастера.
Помогите разобраться, как нужно фильтровать загруженные файлы?
Я знаю только то что можно сверять тип файлов. Например при загрузке картинки, если тип не равен jpg, png то не сохранять на сервере её.
Но я понимаю что скорее всего это можно обойти, поэтому хочу спросить у вас, как же вы все-таки пишите фильтрацию файлов?

2. (15 дек 2015, 21:11) [1/0] [1] [отв] [спам] [под] +1 | -1

Mime type

3.
Juventus * [мошенник] 9.47
(15 дек 2015, 21:12) [0/0] [0] [отв] [спам] [под] +1 | -1

<?

/* Тип файлов которые можно загружать */
$filetype = array ( 'jpg', 'gif', 'png', 'jpeg', '3gp', 'mp4', 'mp3', 'flv', 'zip', 'rar' );
$upfiletype = substr($_FILES['filename']['name'], strrpos( $_FILES['filename']['name'], "."*+1);

/* Если тип файла не подходит */
if(!in_array($upfiletype,$filetype)) {
echo '<div class="array">Такой формат запрещено загружать!</div>';
require_once ('../core/foot.php');
exit();

}
?>

4.
Danya * 0.28
[автор] (15 дек 2015, 21:18) [0/0] [0] [отв] [спам] [под] +1 | -1
Кидорас,

да, а этого достаточно? Его можно как-то подменить?

5. (15 дек 2015, 21:21) [0/0] [0] [отв] [спам] [под] +1 | -1
Danya,

Ты проверяй и мем тип, и формат файла. Если уж и подменят, то сайту не навредят.

6.
Danya * 0.28
[автор] (15 дек 2015, 21:24) [0/0] [0] [отв] [спам] [под] +1 | -1

Кидорас, спасибо)
А еще слышал, что можно загрузить шелл, который выглядит как картинка, и имеет формат картинки, такое возможно?

P.S. Не могу ставить плюсы в репу *


Изм. 1 раз. / Посл. изм.
Danya * 0.28
(15 дек 2015, 21:25)
7. (15 дек 2015, 21:28) [0/0] [0] [отв] [спам] [под] +1 | -1
Danya,

Тоже интересует

8. (15 дек 2015, 22:30) [0/0] [0] [отв] [спам] [под] +1 | -1
Danya,

С этим я не сталкивался. Можно проверять содержимое файла регуляркой, на поиск eval, fopen, include... Но это зашквар. Отключить через штакетник запуск скриптов в директории, и уже ничего не случится.

9.
Danya * 0.28
[автор] (15 дек 2015, 23:05) [0/0] [0] [отв] [спам] [под] +1 | -1
Кидорас,

спасибо большое))

  • 1 из 1
Чтобы писать сообщения авторизируйтесь или пройдите регистрацию на сайте.
Подписаны: 1
Скачать тему | Файлы темы | Фильтр сообщений