Upload system

Ik vindt hem niet zo mooi in elkaar zitten om eerlijk te zijn.

- Je hebt 0,0 commentaar in je script staan.
- Probeer PHP en HTML wat meer te scheiden.
- gebruik enkele quotes als je HTML echoed. je hoeft dan niet elke dubbele quote te escapen.
- Wat is het nut van $filename = $_FILES['filename']['name']; ?
- Je controle op Geen bestandstype / bestandsnaam is niet correct.
- gebruik geen tabellen voor het opmaken van een formulier.

Tevens is het niet veilig om op deze manier de extentie van een bestand te valideren als ik me niet vergis.

Heb je misschien een voorbeeld? Dan kan ik gelijk even laten zien dat het niet veilig is :)

@Marc,
Ik weet me ook iets te herinneren i.v.m. veiligheid. Is mime_content_type niet net wat veiliger?

Die functie is verouderd, dus die moet je niet meer gebruiken. Tevens is het controleren op mime juist niet veilig als ik het me goed herrinner. Te gemakkelijk om te beinvloeden.

maar ik vind hem wel goed hij controleert op naam type enzo als jullie hem willen veranderen dan moeten jullie hem zelf maar aanpassen ik ben best wel nieuwbie in php

als je weet dat je script niet goed is, waarom laat je hem dan niet eerst controleren op het forum in plaats van de lib vol te gooien met niet veilige zooi

Dit script is een uitstekend voorbeeld van hoe het niet moet. Om die reden is de omschrijving aangepast en zal er worden gelinkt naar een betere oplossing.

MIME-types, datgene waar de schrijver op checkt, is onveilig. Dit wordt namelijk door de browser meegegeven en is om die reden 'user-input'. Dat houdt in dat het is te vervalsen en daarmee kun je dus het systeem voor de gek houden.

@Chris Die betere oplossing waarnaar je linkt is wat verouderd. Ik zie er onderandere eregi in staan. Dit script zal er dus vroeg of later mee ophouden.

Mark, ik zie het inderdaad. Kan jij een andere aanraden? De tutorial van Niels met daarin een upload script is volgens mij een stuk beter, klik.

Ik zou er uit mijn hoofd geen weten. Die van Niels ziet er inderdaad stukken beter uit.

Dankje jongens :) Overigens moet die ook wat worden aangepast met wat betere commentaar en betere coding styles etc. Zal ik direct eens doen :) Is alweer een tijdje geleden dat ik die tutorial geschreven heb.

Heb overigens pas geleden ook nog een upload klasse geschreven en die heb ik hier ook geplaatst: klik

Het is een begin:
/*
* Gebruik dit script niet in een live omgeving.
* Dit script is onveilig en een goed voorbeeld
* hoe het niet moet.
*
* Voor een upload class kun je hier terecht:
* http://www.phphulp.nl/php/tutorial/overig/uploadsysteem/705/uploaden-php/1859/
*/
haha

@Thee boris: of jij zo goed in php bent

Dit is een typisch geval waar Subversion of een ander versiebeheer programma zich goed voor zou lonen. Ieder lid zou het script dan kunnen aanpassen en verbeteren met comments erbij en heeft het bitchen nog wat zin ;)

Ja inderdaad! Een heel goed idee. Het is wel vaker gezegd, maar niemand neemt voor de rest het initiatief! Ja pas geleden had jij iets met een DataGrid, maar toen reageerde er maar een paar mensen..