Uploadscript für Bilder
Hallo,
hatte ja Probleme mit den Filemanagern der Webeditoren. Und nun auch festgestellt, dass mein bisheriges Uploadscript locker manipulierte Dateien bzw. Dateiendungen durchlässt. Nun habe ich ein neues erstellt und möchte euch fragen, ob ihr das für sicher haltet. (Es liegt zwar im passwortgeschützten Bereich, aber das waren die anderen angreibaren auch.) Schon mal danke für Kritik und Hinweise! PHP-Code:
HTML-Code:
<!-- Die Encoding-Art enctyoe MUSS wie dargestellt angegeben werden --> |
AW: Uploadscript für Bilder
Hallo Heinrich,
habe mir das Script mal geschnappt und damit rumprobiert. Ich schildere dir hier meine Eindrücke: - 0,477 MByte Bilder? zu klein für heutige Fotos zu groß für Avatare. Bin mir unsicher warum du die Größe gewählt hast. - man kann mit leichtigkeit das Value im Editormodus jedes Explorers ändern / oder sogar anzeigen lassen und ändern (hidden --> text) Sind keine schwerwiegenden Fehler nur hab ich dies festgestellt und mit dem Forum hier vergliechen... Wenn ich hier im Forum Bilder hochlade die zu groß sind werden sie automatisch auf die passende größe gebracht und ich erhalte keine fehlermeldung. Das passiert wohl nicht Clientseitig(wenn doch hab ich es nicht gesehen). Wie man dies erreicht da habe ich leider keine Vorschläge. Für mich als Anfänger sieht der Script aber soweit gut aus. Lg BozzaCoon |
AW: Uploadscript für Bilder
Zitat:
|
AW: Uploadscript für Bilder
@BozzaCoon
Danke für den Tipp. Die Form habe ich wohl schludrig aus dem Netz kopiert. Max_file_size wird von meinem Script überhaupt nicht verarbeitet. Das sollte ich dort noch selbst definieren (aus der Form kann das weg). Die ganze Anwendung läuft sowieso nur im geschützten Redaktionsbereich eines CMS, also kein für jeden zugänglicher Upload. @DokuLeseHemmung Danke - ich habe erst vor kurzem gelesen, dass $_SERVER['PHP_SELF'] problematisch sei. Ist es das nur mit "echo" oder auch so, wie es bei mir steht? Oder sollte ich den konkreten Namen der aufzurufenden Datei nehmen. Was sagst du zu der Prüfung des Uploads? |
AW: Uploadscript für Bilder
Zitat:
Zitat:
|
AW: Uploadscript für Bilder
<?php $_SERVER['PHP_SELF'] ?> mag sinnfrei sein... jedenfalls funktioniert es...Dürfte es das nicht?
Mit den Mime-Typen hast du recht. Könnte ich noch auf jpg, gif und png eingrenzen. |
AW: Uploadscript für Bilder
Hi,
was Doku meint ist: PHP_SELF ist immer Mist! Was du da machst ist nichts denn ohne echo kannst du den Part auch löschen und solltest es auch, denn dein "action" ist LEER und nimmt dadurch die aufgerufene URL als Ziel. Überprüfe deinen Quelltext! Dein Uploadscript ist noch sehr ausbaufähig. Ich würde nie den Namen der Datei übernehmen! Bsp.: Gerade bei Digitalkameras gibt es IMG_XXX.jpg 1000mal und die überschreiben sich dann? Benutze eine Datenbank oder Textfile für die Orginalname / timestamp. MfG CKaos |
AW: Uploadscript für Bilder
Zitat:
Mit echo ist es eine Gefahr. HTML vor 5 erwartet zwingend das action Attribut. Es darf leer sein. Dann füllt der Browser es, wie er es für richtig erachtet. In HTML5 darf das action Attribut fehlen, wenn es aber vorhanden ist, dann muss es auch (sinnvoll) gefüllt sein. Zu: $_SERVER['PHP_SELF'] Meist ist $_SERVER['SCRIPT_NAME'] angemessener. Aber auf manchen Systemen ermöglicht auch dieses XSS Attacken. Prüfe das vor der Verwendung. |
AW: Uploadscript für Bilder
Okay danke, das mit $_SERVER['PHP_SELF'] habe ich verstanden. Werde zukünftig $_SERVER['SCRIPT_NAME'] verwenden.
Wichtiger ist aber ja, dass ich das, was darüber (evt. manipuliert) reinkommt, kontrolliere. Mache ich bei Zahlen-Parametern mit PHP-Code:
PHP-Code:
@Ckaos Der Bildupload ist nur im geschützten CMS-Bereich; da habe ich die Übersicht über die Bildnamen. Aber du hast Recht - ich sollte das überschreiben noch ausschließen. |
Alle Zeitangaben in WEZ +2. Es ist jetzt 15:06:43 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.