script uitvoer blokkeren .htaccess

ook php vanaf een andere server?

Ik geloof niet dat php een php code op een andere server kan uitvoeren. Als dat zo zou zijn dan include je de database connectie gegevens op een andere server en je bent compleet binnen. Lijkt mij niet.

Bas Kreleger op 08/02/2012 12:57:57

Dat is een beetje vertrouwen in je eigen kunde in veilig programmeren. Dat is natuurlijk goed te voorkomen.

Ik heb daar even over nagedacht. Alle bestanden worden hernoemd en de bestandslink in de database opgeslagen. Overschrijven is niet mogelijk.
Sowieso zijn de bestanden niet direct te benaderen van buitenaf.

Maar ik heb begrepen dat afbeeldingen php code kunnen bevatten, en dus zowel als afbeelding als phpscript geopend kunnen worden. Hoe voorkom je dit dan?

Leesvoer over dit onderwerp: http://www.phpclasses.org/blog/post/67-PHP-security-exploit-with-GIF-images.html

Oke wat leesvoer later.
http://boardit.misterdeman.eu/userfiles/1/beveiligingstest2.php

De afbeelding die in de bovende link getoont word bevat, als het artikel juist is, een stukje php code. http://php.webtutor.pl/en/2011/05/13/php-code-injection-a-simple-virus-written-in-php-and-carried-in-a-jpeg-image/

Het wordt echter niet uitgevoerd en ik weet niet zeker waarom. Ik zag ergens op het forum staan dat de readfile functie veiliger is, maar elders stond dat het niet uitmaakt.

De code die ik gebruik om de afbeelding te tonen:

$file = 'php-logo-virus.jpg';
$file = 'userfiles/'.$file;
$type = getimagesize($file);
$type = $type["mime"];

//handmatig manier van type invoeren
//$type = 'image/png'; 
header('Content-Type:'.$type);
header('Content-Length: ' . filesize($file));
readfile($file);
?>

[size=xsmall]Toevoeging op 10/02/2012 23:27:42:[/size]

Ik ben benieuwd, is het genoeg om de header zelf in te vullen.

Bijvoorbeeld ik accepteerd alleen jpg bestanden, dus ik vul ook de header in met 'image/jpg'. Kan een eventueel stukje script dan nog steeds geopend worden?

[size=xsmall]Toevoeging op 11/02/2012 00:20:18:[/size]

Ik heb nog het 1 en ander geprobeerd. Maar het "virus" lijkt alleen te openen als ik of het bestand de .php extensie geef (logisch) of als ik bij de readfile() functie geen header opgeef.

Ook volgens deze website http://www.phpclasses.org/blog/post/67-PHP-security-exploit-with-GIF-images.html gaat het probleem alleen op als ik ongericht een bestand open, of gebruikers de kans geef om hun bestanden direct te benaderen.

Begrijp ik het dan goed dat ik het volgende moet doen:

Mappenstructuur
Toegang weigeren voor iedereen via htaccess of map buiten de public gebruiken.

upload
1: mimetype controleren
2: Als de mime niet is toegestaan dan gelijk weigeren.
3: wel toegestaan: bestand uploaden
4: nieuwe bestandsnaam toevoegen in database met autoid, id gebruiken als bestandsnaam
5: bestand in juiste locatie opslaan, bestand hernoemen(autoid) met juiste extensie

tonen
1: in de pagina een get functie gebruiken die het juiste ID stuurt
2: in de getbestand.php voorkomen dat het binnengekomen ID, code is ipv een ID
3: in de database de juiste locatie ophalen
4: header ('Content-Type;*'); * is juiste mime type invoeren op basis van bestandsnaam
5: readfile(); gebruiken

kickje: graag bevestiging of bovenstaande stappen genoeg zijn. Zo niet wat dan nog meer.