uploaden van file
Ik ben begonnen aan een upload scriptje,
maar ik weet dat zo, veel sites gehackt worden,
ik zou graag een beveileging maken dat alleen img,png doorlaat,
dit word vaak omzeilt met bv tamper data dan uploaden de hackers een bestand dat eigenlijk bv .php is maar zeggen via de headers dat dit een .jpg is,
hoe kan ik me hier tegen beveiligen,
had al iets gevonden over mime types, maar weet niet hoe dit te doen,
misschien nog iemand een idee?
Gesponsorde koppelingen:
staat geen duidelijke informatie op die search,
heb al verder dan die search gezocht, maar vind niet veel informatie
Gewijzigd op 01/01/1970 01:00:00 door Matthias
Code (php)
1
2
3
4
5
2
3
4
5
$ext = substr($_FILES['img']['name'], strpos($_FILES['img']['name'],'.'), strlen($_FILES['img']['name'])-1);
// Check if the filetype is allowed, if not DIE and inform the user.
if(!in_array($ext,$allowed_filetypes)){
die('The file you attempted to upload is not allowed.');
}
// Check if the filetype is allowed, if not DIE and inform the user.
if(!in_array($ext,$allowed_filetypes)){
die('The file you attempted to upload is not allowed.');
}
dat is wat ik op dit moment heb,
maar ik vrees dat dit niet genoeg is
Gewijzigd op 01/01/1970 01:00:00 door Matthias
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?PHP
# Errors
error_reporting(E_ALL);
# File types
$Filetype = array('png', 'x-png');
# Mime types
$Mimetype = array('image/png', 'image/x-png');
# Kijken of er gepost wordt
if($_SERVER['REQUEST_METHOD'] == 'POST')
{
# Extentie van het bestand
$Extensie = strtolower(substr($_FILES['uploadVeld']['name'], -3));
# Kijken of file type is toegestaan
if(in_array($Extensie, $Filetype))
{
# Kijken of mime type is toegestaan
if(in_array($_FILES['uploadVeld']['type'], $Mimetype))
{
# Alles is ok
echo 'Alles klopt.';
}
else
{
# Mime type is niet toegestaan
echo 'Dit bestand is niet toegestaan.';
}
}
else
{
# File type is niet toegestaan
echo 'Dit bestand is niet toegestaan.';
}
}
?>
# Errors
error_reporting(E_ALL);
# File types
$Filetype = array('png', 'x-png');
# Mime types
$Mimetype = array('image/png', 'image/x-png');
# Kijken of er gepost wordt
if($_SERVER['REQUEST_METHOD'] == 'POST')
{
# Extentie van het bestand
$Extensie = strtolower(substr($_FILES['uploadVeld']['name'], -3));
# Kijken of file type is toegestaan
if(in_array($Extensie, $Filetype))
{
# Kijken of mime type is toegestaan
if(in_array($_FILES['uploadVeld']['type'], $Mimetype))
{
# Alles is ok
echo 'Alles klopt.';
}
else
{
# Mime type is niet toegestaan
echo 'Dit bestand is niet toegestaan.';
}
}
else
{
# File type is niet toegestaan
echo 'Dit bestand is niet toegestaan.';
}
}
?>
ik vermoed als ik meerdere wil toelaten
gewoon toevoegen aan:
Code (php)
1
2
3
4
2
3
4
$Filetype = array('png', 'x-png');
# Mime types
$Mimetype = array('image/png', 'image/x-png');
# Mime types
$Mimetype = array('image/png', 'image/x-png');
zijn er nog gevaren waar ik op voor moet passen als ik het uploaden van bestanden zou toelaten?
Ook zou je een limiet kunnen stellen voor elk plaatje. in grote bedoel ik dan. (kb)
Ook is die extensie check niet juist denk ik.
Quote:
Ook is die extensie check niet juist denk ik.
Heb je geprobeerd?, ik weet zeker dat die goed werkt.
Daarbij heb ik hem ook nog verteld als je op getimagesize controleerd dan moet het wel een image zijn.
Ben benieuwd hoe jij je files controleerd op type.
Karl schreef op 08.11.2009 21:23:
Nee, je kunt niet vertrouwen op de mimes die in $_FILES zit.
Ook is die extensie check niet juist denk ik.
Ook is die extensie check niet juist denk ik.
Hoe dan wel??
is dat voldoende? of nog gevaren?
thnx voor de help!
