• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Datei Upload 100% sicher machen

Naja Vergleich mal die Zündung vom Mercedes und vom Golf beim Mercedes gibs gar keinen richtigen schlüssel mehr da ist es digital und beim golf ist es der herkömmliche schlüssel wie es die meisten kennen, aber das grundprinzip bleibt doch, man kann das auto nur fahren wenn man den schlüssel hat sonst nicht nur das bei mercedes ist halt überflüssig.

So gibt es halt Uploadscripte über 500 Zeilen oder auch nur welche mit 100 Zeilen. Beide sind nicht so einfach ausztricksen.
Also bei meinen Uploadscripten habe ich immer erstens den Dateityp geprüft. Dateien die z.B. die endung *.php haben werden erstmal überhaupt nicht gespeichert.
Als 2te sicherheit gebe ich nicht den link zu dem direkten Uploadordner raus sondern einen link über php get (datei.php?d=blaaaaaaa)
Und zuletzt verändere ich die CHMod rechte sodass nur das script hochladen kann auslesen kann aber nicht ausführen kann...
Und schon solltest du einen recht guten Upload haben...
 
hört sich alles bisschen komisch an also könnte ich auch den kleinen benutzen und der wäre genau so sicher wie der große oder was kann ich machen damit der kleine noch sicherer wird bitte mehr infos:?
 
Im Prinzip würde das reichen ergänze es dann halt noch mit dem Get und dem CHMod und dann passt das ;)
Und was ist daran komisch???
 
100% gibt es nicht :roll:

php-einfach hat ein simples formular zum hochladen gepostet, da wird nichts gechecked, nichts ausgeschlossen einfach gesagt, simpelste grund-anleitung, die dringend ausgebaut werden muss.

easy coding macht sich da schon mehr mühe und schliesst z.b. dateiendungen vom upload aus, sprich die tun sich da schon wesentlich mehr an.

beim bild-upload fehlt mir noch, dass die bilder per chmod die ausführungsrechte entzogen bekommen, und dass gross/kleinschreibung der dateinamen auf einheitlich gestellt wird (z.b. dateiname alles klein).
 
warum mus man den was ausschließen wenn man schon sagt das nur jpgs hochgeladen werden dürfen verstehd as alles noch nicht :?
 
@xooox

naja sieh das mal so:

du besitzt eine eine webseite mit die eine sehr hohe prioritaet hat.
sagen wir mal, deine website ist deine firma z.b. die meinsten kunden die du betreust, tretten mit dir in verbindung uebers internet.

nun bittest du denen ein repairaturservice an. dazu verlangst du aus irgendeinem grund, bilder von dem beschaedigten hochzuladen. (was wichtig ist, ist das etwas hochgeladen wird).

du schreibst eine kurze notiz darueber und sagst bitte nur .jpg bilder hochladen.
jetzt nehmen wir mal an du hast eine sehr neidische konkurenz die auf deinene erfolg neidisch ist oder ein moechtegern (oder vlt auch ein professioneller) hacker hat sich deine seite als ziel ausgesucht.

beide bestrebt es nun danach deine seite lahmzulegen, um deiner firma eine schlag zu verpassen. der hacker macht es vlt nur aus "langeweile" oder umd erfahrung zu sammeln. die konkurenz eher aus geld gruenden (weniger kunden bei dir = mehr kunden bei denen erhoffen sie sich).

also hast du einen fehler gemacht und bei deinem upload script keine datenendungen ausgeschlossen sondern erlaubst alles.

jetzt wuerde es vielen leicht fallen:
1. datein hochzuladen die deinen server schaden vlt sogar deine webseite beschaedigen.
2. boeser code (php mysql etc) kann eingeschleust werden und somit z.b. vertrauliche daten von kunden erlangt werden
3. und mehr :D

ich hoffe du siehst nun das man datenendungen und eine ueberpruefung der angaben durchfuehren sollte. damit wird einfach verhindert, dass deiner homepage etwas passieren kann.

was ich eigentlich sagen will:
Nur weil du sagst man SOLL nur .jpg bilder hochladen, heisst das noch lange nicht das NUR .jpg bilder hochgeladen werden.
 
was ich eigentlich sagen will:
Nur weil du sagst man SOLL nur .jpg bilder hochladen, heisst das noch lange nicht das NUR .jpg bilder hochgeladen werden.
hört sich alles bisschen komisch an also könnte ich auch den kleinen benutzen und der wäre genau so sicher wie der große oder was kann ich machen damit der kleine noch sicherer wird bitte mehr infos:???:
Naja, du kannst doch einfach nach den hochgeladenen type fragen: $_FILES['inputname']['type'] (oder $HTTP_POST_FILES['inputname']['type'] für die älteren)

Da ne' Abfrage drumm machen und gut ist. Und natürlich schauen, das der PHP Interpreter diese Dateitypen nicht interpretiert. (Was bei Bildern ja normal nicht der Fall ist).

Mfg
 
Mad Dog ich wohn nicht im behindertenheim :mrgreen:

das war doch nicht drauf bezogen das ich es sag:

PHP:
$dateityp = GetImageSize($_FILES['datei']['tmp_name']);
if($dateityp[2] != 0

In dem Script von php-einfach wird doch schon gesagt das nur Datei
endungen mit 2 erlaubt sind:

1 = GIF, 2 = JPG, 3 = PNG, 4 = SWF

darum versteh ich nicht was ich da noch kontrolieren soll wird doch schon der Dateityp abgefragt entspricht er den vorgaben überträgt das Script den Upload auf meinen Server :?

Vileicht versteht man jetzt warum ich es nicht versteh :mrgreen:
 
dazu kommt, dass man eine script-datei als bild getarnt hochladen kann.

ich schreibe ein php-script und gebe dem script statt .php die endung .gif. ist die datei ausführbar, lässt sich der enthaltene code ausführen, man kann ein upload-script darin verstecken und dann hochladen, was man möchte, oder die inhalte aller anderen verzeichnisse anzeigen lassen, alles zu einer zip datei packen und per mail versenden lassen, spam verschicken, dateien editieren und sich z.b. passwörter schicken lassen etc.

alles nicht so einfach.....
 
Zurück
Oben