Upload + security

[docjohn]

Upload + security

Использую аплоад.
Скрипт обработки файла после его проверки на вшивость копирует в отдельную дир, права у которой 757.
В администрировании веб-серверов я посторонний и поэтому многое мне неясно:
Зачит ли это, что любой может залить что угодно в эту дир?
И даже свой php-файл и запускать оттуда?
А ведь это не есть хорошо.

 

[Vladimirovich]

Re: Upload + security

Автор оригинала: docjohn
И даже свой php-файл и запускать оттуда?

у тебя файлы аплоадятся в каталог, видимый апачем, файлы сохраняют оригинальное имя и там разрешено исполнение пхп???
ну ты дал =)

первым делом .htaccess, потом долго думать... =)

 

[docjohn]

Re: Re: Upload + security

А если поместить эту дир-ию, куда копируются файлы, за пределы WWW этого сервера, тогда Apach не будет ее видеть и будет ок?

 

[Vladimirovich]

Re: Re: Re: Upload + security

Автор оригинала: docjohn
А если поместить эту дир-ию, куда копируются файлы, за пределы WWW этого сервера, тогда Apach не будет ее видеть и будет ок?

тогда по-крайней мере не любой кто имеет доступ к аплоаду сможет выполнять код на сервере =)

 

[docjohn]

Re: Re: Re: Re: Upload + security

Автор оригинала: Vladimirovich
тогда по-крайней мере не любой кто имеет доступ к аплоаду сможет выполнять код на сервере =)

что значит НЕ ЛЮБОЙ?
т.е. нуна прописывать для этой дир пользователей, которые имеют доступ на аплод?

 

[docjohn]

Upload + security

Не, такой вариант не пойдет, так как картинки нуна показывать Апачем и следовательно они должны быть в дир, которую он видит.

Ставить права доступа на эту дир для выполнения скриптов тоже не катит. Но копирование в эту дир работает только когда права стоят 777. Иначе выдает Permission Denied.

Кто поможет

 

[Jin]

Re: Upload + security

Ты же сам написал:после его проверки на вшивость . Так в чём пробдема ?

 

[docjohn]

Re: Re: Upload + security

Проверка на вшивость - это проверка типа файла (копируются только картинки).
Но разве это достаточное средство безопасности?
Думаю - нет

 

[Jin]

Re: Re: Re: Upload + security

Автор оригинала: docjohn
Проверка на вшивость - это проверка типа файла (копируются только картинки).
Но разве это достаточное средство безопасности?
Думаю - нет

Смотря для кто и для чего аплоадит картинку.
Если загруженные картинки без мануальной проверки кидаются на пэйдж, то есть опасность заиметь на странице фотографию хммм "сношения обнаженной особи женского пола с мобильным телефоном NOKIA 2110"
Хотя в любом случае проверки на .gif .jpg и на размер файла достаточно, и кроме как с эстетической стороны, навредить Тебе не смогут.

 

[RaZEr]

Re: Re: Upload + security

1. Надо в htaccess прописать deny from all , и не будет ни у кого туда доступа .
2. как это можно затереть htaccess ?

 

[inter189]

савсем необязательно использовать права 777 и htaccess.. у меня все прекрасно заработало, када я сменил владельца директорий с картинками