PHP Hilfe

PHP Hilfe (11 Beiträge, 123 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Kann mir wer bei PHP Helfen !?!

Und zwar will ich in einen Bestimmten Ordner einen ONLINE Explorer haben, um dort eine Bestimmte Datei zu ändern, Ordner zu erstellen, und in diese Ordner Bilder reinzu laden

Es ginge auch ein Script wo ich per "durchsuchen" die fertigen Dateien hochlade, also nicht online ändern

THX für Antworten

*********************************
Homepage: http://www.vwundaudifreunde.at

ich mach es so:

http://forum.geizhals.at/files/58283/upload.php

Interessant für dich ist die Funktion copyToDir, die Bilder in einen Ordner uploaded.
Die Filenamen der Bilder werden in einer Datenbank gespeichert.

Uaaargh!

Ich hab' mir das nur gaaanz kurz überflogen - kann mich also täuschen - aber dein Script ist extrem kritisch [wie gesagt, zumindest am 1. Blick].

IMHO gibt's keinerlei Prüfung auf SQL Injection

Beispiele:
function insertFile()
Es findet keine Prüfung statt, ob das wirklich nur ein Filename ist. Du kannst zwar der aufrufenden Funktion vertrauen - ich würde allerdings die paar Zyklen in Sicherheit investieren (auch zum weiterverwenden):
Angenommen, man übergibt als $filename "bubu';delete from files ; -- dann würde folgendes SQL entstehen: Select filename,id FROM files WHERE filename='bubu';delete from files ; --.jpg. Alles nach dem -- wird ignoriert, er würde also sofort deine Tabelle löschen. Wenn man MySQL kennt (ich nicht

) - könnte man über solche Injections auf Systemtabellen mal nachlesen, welche Tabellen es gibt - und die der Reihe nach angreifen

.

Die Sicherheit deines Scripts begründet sich in der Annahme, daß du nur alle im Dateisystem erlaubten Namen zuläßt (weil ja vorher das copy anrennt) und ein if(copy) { insertfile(); ...} abrennt.

Der von mir angegebene Filename bubu';delete from files ; -- ist mal grundsätzlich in vielen OS erlaubt... und würde sofort deine Files-Tabelle zerstören. Noch schlimmer wird's, wenn das einer benutzt, um auf Kennwörter oder sonst heikles in der DB zu stoßen...

Kurzum:
Ich würde einen Test der Eingabedaten machen und mich niemals auf ein "Meine Files sind nicht so wichtig" verlassen.. Denn einem Hacker ist das wurscht - der kann ja vorher nicht wissen, wie wichtig die Daten sind ;-9

OHNE mysql auch machbar ?
*********************************
Homepage: http://www.vwundaudifreunde.at

Aber für mich klingt das nach einfachem Verwenden von WebDAV und net PHP...

Wie meinst du das "WebDAV"

Sagt mir nichts

hab zwar gegoggelt, aber mich nicht zurecht gefunden

mit PHP dachte ich an die Sciptsprache, da es ja viel Lösungen damit gibt
*********************************
Homepage: http://www.vwundaudifreunde.at

http://de.wikipedia.org/wiki/WebDAV

Danke

kenn mich aber noch immer nicht aus

Was muß ich da nun machen ?

*********************************
Homepage: http://www.vwundaudifreunde.at

Lies dich in die Apache-Config ein (oder IIS, wenn du das als Webserver hast). Beide bringen WebDAV mit - das ist im Prinzip ganz vereinfacht nix anderes als ein Cleveres Netzlaufwerk [weil Version Control, ..], daß aber über HTTP funktioniert. Im Explorer kannst du IMHO die WebDAV-Netzlaufwerke bei aktuellen Windows-Varianten einbinden - dann sieht's für den Benutzer wie ein normales Netzlaufwerk aus.

Das muß aber mein Anbieter machen : Oder ?

*********************************
Homepage: http://www.vwundaudifreunde.at

Aaah - ist nicht dein Server... Verstehe

.

Naja, dann wird's wohl nix viel mit WebDAV - außer du darfst die Apache-Config verändern (zB bei rootserver).

cu

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung