Uppladdningsscript och PDF?

PHPportalen Forum Index » PHP
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
marcusgarden



Medlem i: 3539 dagar

Status: Offline



#742482
Inlägg Skrivet: 2019-02-19 10:39      Ämne: Uppladdningsscript och PDF? Citera

Hej!

Jag har ett script för att ladda upp filer, det är begränsat till att endast ladda upp bilder med mime strpos($mtype, 'image/') === 0).

Jag vill också kunna ladda upp PDF, kan jag enkelt då lägga till || strpos($mtype, 'application/pdf') === 0 utan problem/säkerhetsrisk?
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Azreal
Administratör



Medlem i: 5259 dagar
Från: Uppsala, bor i Göteborg
Status: Offline



#742483
Inlägg Skrivet: 2019-02-19 10:51      Ämne: Citera

Hej,

Du kan läsa lite om risker med filuppladdning här: http://www.phpportalen.net/viewtopic.php?t=72202

Lite mer tips: https://stackoverflow.com/questions/22403717/upload-only-doc-and-pdf-file-in-php
 

_________________
Konsultation via PM, inte gratis.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
harald_b
Moderator



Medlem i: 5000 dagar
Från: Tavesta
Status: Offline



#742485
Inlägg Skrivet: 2019-02-19 13:28      Ämne: Citera

Det absolut viktigaste att ha koll på är vilket filnamn filen får när den sparas på servern. Filnamnändelsen styr över hur servern betraktar filen och slashar i filnamnet kan styra över i vilken mapp den hamnar.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
marcusgarden



Medlem i: 3539 dagar

Status: Offline



#742486
Inlägg Skrivet: 2019-02-19 14:38      Ämne: Citera

Ok, tackar!

Jag sparar filen i en mapp utanför min root, med ett slumpat namn och filändelsen .tmp.
Info om sökväg, filnamn och filändelse sparas i en tabell i db.
ID används sedan för att hämta filen med ett script i PHP.

Användaren ser aldrig det slumpade namnet och inte var filen finns.

Uppladdningsscriptet stoppar filer om inte mime är en bild enligt image/.

Annat jag bör tänka på?
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 5000 dagar
Från: Tavesta
Status: Offline



#742487
Inlägg Skrivet: 2019-02-20 02:15      Ämne: Citera

Det kan ju vara värt att se till att både filtyp och filnamn blir både lämpligt och rätt i samband med att filen laddas ner också, och att den taggas som bilaga.
Om den skulle uppfattas som en integrerad del av webbsidans html-kod så kan man ju hacka sidan den vägen också.

Sedan kan man ju också fundera på om det finns risk för problem med att det laddas upp filer av godkänd typ, men med i sammanhanget olämpligt innehåll. Men det kanske är en helt annan fråga.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » PHP
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic