PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
f

veiligheid in bestandssysteem inbouwen

Door flee op 23-02-2008 19:18
268 views
Hoi

ik gebruik het bestandssysteem van Andreas Warnaar
http://www.phphulp.nl/php/scripts/7/987/
en ben voor me bezig om het wat veiliger te maken.
Erbij heb ik het grote inlogsysteem kekoppelt:
http://www.phphulp.nl/php/scripts/8/439/

Nu wordt dus een map op de server met je gebruikersnaam van het inlogsysteem (tijdens registreren) gemaakt en in deze kun je (mits je ingeloggt bent) je bestanden beheren (uploaden, wissen en dergelijke).


ik heb als Leek nu een soort beveiliging ingebouwd,zodat je alleen in
je eigen map kunt wissen en niet door middels van een aangepasste link in de brouwser een directory hoger of meer iets anders kunt wissen.
Het werkt op het eerste oog maar ik weet niet zeker of ik iets vergeten ben.
Iemand een tip of ik iets over het hoofd zie?
trouwens ik weet ik doe het op een omslachtige manier,maar ik weet nu op dit moment niet beter.

<php
// nu gaan we kijken of de ingeloggde gebruiker niet probeerd iemand anders zijn map te wissen
$array = explode('/',$_GET['deletefile']);
$aantal = count($array);

for($i = 0; $i < $aantal; $i++){
$dir = $array[$i];

////$_SESSION['user'] is de gebruiker en tegenlijk zijn map
if ($_SESSION['user'] == $dir) {




$i_until = ($only_empty)? 1 : 0;
for ($i=count($darr)-1; $i>=$i_until; $i--) {

if (rmdir($darr[$i])) {

?> <html><script language="Javascript" type="text/javascript">
location.href=$_SESSION['getdir'];
</script></html><?php
}



}
break; }else
{
$teller = 3;
while ($teller < $aantal)
{


$teller++;


}
//in het gevall dat iemand probeerd iemand anders zijn map te wissen
if (($_SESSION['user'] != $dir) AND ($teller!=$aantal) ) {
echo 'niet doen <br/>';

$teller = 0;
break;

}
}

//////einde gebruikerstest

?>

tenslotte: warmee ik zat:
natuurlijk krijg ik meerdere resultaten,dus heb ik het met
een teller opgelosst waneer wat gebeurd.
Mijn grote vraag is nu: als iemand nu niet gewoon door een andere adress in de adressbalk een deleteopdracht (zoals ...index.php?deletefile=beheer/fr&dir=1&fil...) op te geven iets anders dan zijn map kan wissen ,ben ik dan veilig bezig?

groet feli

Reageren

Inloggen om te reageren