Navigation
 Startseite
 Fachbücher
 Forum
 Webmaster News
 Script Newsletter
 Kontakt
 Script Installation
 Php
 Php Tutorials
 Impressum

Community-Bereich
 kostenlos Registrieren
 Anmelden
 Benutzerliste

Script Datenbank
 Script Archiv
 Script Top 20
 Screenshots
 Testberichte

Suche
 

Unsere Php Scripts
 Counter Script
 Umfrage Script
 Bilder Upload Script
 Terminverwaltung
 Simple PHP Forum
 RSS Grabber

Script Mods
 phpBB Adsense Mode

Tools und Generatoren
 .htpasswd Generator
 md5 Generator
 base64 Generator
 Markdown to HTML
 Colorpicker
 Unix timestamp Tool
 TLD Liste
 Webkatalog‑Verzeichnis

Partner
 Sprüche Treff

Hosterplus.de
Bekommen Sie Speicherplatz (Webspace), Domains und...
https://www.Hosterplus.de
Artfiles.de
Bietet Serviceorientierte Internetdienstleistungen...
https://www.Artfiles.de
 
 
 

Bilder upload Script sicher machen

Sie befinden sich: Home > Forum > Php > Bilder upload Scr...

Wenn Sie einen Beitrag in diesem Forum schreiben möchten, so ist es erforderlich, dass Sie ein
 Benutzerkonto registrieren.

In diesen Beitrag wurden 8 Nachrichten geschrieben.

Bilder upload Script sicher machen
Nachricht wurde verfasst am 26.05.2011 um 12:41 Uhr von   Didie
Das Script reicht für meine Zwecke, jedoch kann man leider nur Bilder oder alle Dateitypen uploaden. Das ist höchst gefährlich wenn z.B. php Dateien hochgeladen werden dürfen.

Die üblicherweise für die Sicherheit angewendete Mindestmaßnahme bei Uploadscripts ist, die zulässigen Dateitypen festzulegen, z.B. durch Prüfung der Dateiendung.

Ich selber kann das nicht. Könnte Jemand das Script dahingehend erweitern? Ich will selber in der Konfigurationsdatei zulässige Dateitypen festlegen können, z.B. zip, pdf oder xls.

Die zulässigen Dateitypen sollten dann im Formular ausgelesen und angezeigt werden, dort wo auch die max. Größe steht.

Gruß
 
Nachricht wurde verfasst am 27.05.2011 um 09:31 Uhr von Schubertmedia Schubertmedia
Danke für den Vorschlag, ich Versuche gegebenenfalls bei den nächsten Update dies mit einzubauen. Das Skript ist ja eigentlich nicht dafür ausgelegt für den öffentlichen Upload, da dies Sicherheitsprobleme geben könnte.

Jemanden ein Upload zur Verfügung zu stellen, der nicht registriert ist, ist relativ unsicher und problematisch. Ich könnte natürlich auf das Dateiformat eine Überprüfung einbauen, bloß wer prüft dann diese Dateien im Detail ob zum Beispiel ein Virus enthalten ist? Wenn du Dateien Upload lässt und diese nicht explizit überprüft, bist du für alles haftbar was auf deiner Seite online gestellt wird.
Nachricht wurde verfasst am 27.05.2011 um 10:30 Uhr von   Didie
Hallo,
ja - richtig. Selbstverständlich gibt es keine absolute Sicherheit. Aber ich sprach von einem gewissen Mindestschutz, der mit moderatem Aufwand realisierbar ist.

Üblich ist eben die Dateiprüfung - mindestens, d.h. Dateiendung und / oder Dateityp. Durch die Möglichkeit der Einschränkung auf Bilddateien (aktuelle Script-Version) wird meine Meinung ja bestätigt. Nur ist eben die Variante "nur Bilder" oder "alle Dateitypen" oder "gar kein Script" zu undifferenziert.

Ich sprach von der Prüfung des Dateityps, meinte damit natürlich die Prüfung auf Dateiendungen und Dateitypen in kombinierter Weise. Da du als Programmierer nicht endlose Wünsche/Varianten der Anwender vorausdenken kanst, ist eben bei der Programmierung die Methode der Wahl, eine benutzerfreundliche Möglichkeit der Konfiguration zu schaffen. Ich denke, es ist für den Anwender zumutbar, die Dateiendungen und den MIME Typ für seine Wunschdateien zu ergänzen. Als Vorgabe wäre z.B. die Angabe von eineigen Beispielen sinnvoll, etwa: text/plain", "image/gif", "image/jpg", "application/pdf" und "application/zip".
Um die Reduzierung / Erweiterung muss sich dann eben jeder selbst kümmern. Das schafft man mit googeln auch wenn man nicht programmieren kann so wie ich.

Es wäre super, wenn du diesen Nachteil des Scriptes beseitigen könntest, denn damit wäre das Script super, weil es nicht so gigantisch ist und alles kann, was man braucht und dazu eben einfach funktioniert. Das ist nicht selbstverständlich - ich habe diverse Scripte ausprobiert. Viel laufen gar nicht, sind zu umfangreich oder zu kompliziert zu installieren oder kosten ab 50 Euro aufwärts, was eigentlich nur für kommerzielle Nutzer in Frage kommt.

Ein Link zur Seite des Autors oder ein geringes Entgelt zur Berechtigung der Entfernung dieses Links sind dagegen völlig OK.

Gruß
Dirk

PS: Wann köönte denn die Welt mit einem überarbeiteten Script rechnen?
Nachricht wurde verfasst am 27.05.2011 um 11:01 Uhr von   Didie
Ich bin`s nochmal. Würde gern meine Meinung/Wünsche auch bei "Testberichte" einstellen, falls das erwünscht ist, um auch einen kleinen aktiven Beitrag zu leisten. Das Bilder-Upload-Script Script steht aber nicht in der Liste?

Gruß
Dirk
Nachricht wurde verfasst am 27.05.2011 um 15:43 Uhr von Schubertmedia Schubertmedia
Huhu Didie,

ich habe gerade dein Vorschlag in unseren Datei Upload Script -> https://www.php-space.info/bilde... übernommen und die Version 1.10 zur Verfügung gestellt. Ich werde gleich mal noch einen Eintrag im Scriptverzeichnis verfassen, irgendwie ist dies damals untergegangen. :-)

Liebe Grüße und ein schönes Wochenende
Nico
Nachricht wurde verfasst am 30.05.2011 um 11:10 Uhr von   Didie
Hallo Nico,
sehr schön, dass du die Anregung gleich umgesetzt hast. Doch leider funktioniert es nicht so richtig bei mir. Könntest du es nochmal prüfen:

1. Wenn ich "nur Bilder" zulasse, kann ich nicht die 5 voreingestellten Dateitypen uploaden. Wenn ich "nur Bilder" nicht zulasse, kann ich nach wie vor alles uploaden, auch z.B. php Dateien.

2. Im weiten Fall kommt erst nach Bestätigung mittles Button eine Liste der zugelassenen Dateitypen auf den Bildschirm, was sicher so nicht sein soll.
Vielmehr sollte die Liste der Dateiänderungen aus der config.php von Anfang an ausgelesen werden und zwar nur als eine Liste der Dateiendungen, wie z.B. Zugelassenene Dateien: *.jpg, *.pdf, *.zip angezeigt werden.
Das sollte natürlich dort stehen, wo auch die Info zur Größenangabe steht.

3. Noch eine kleine notwendige Textänderung. Die Meldung sollte heißen: "Datei ist auf dem Server". oder "Datei ist auf den Server hochgeladen worden." und nicht "Datei ist auf den Server."

4. Es wäre sehr schön, wenn es einen frei definierbaren Textlink oder einen "zurück"-Button vor der Zeile "Programmierung: www.php-space.info" gibt, damit man auf die Seite zurück kommt, von der die upload.php gestartet wurde. Das heißt unter den Link "Eine weitere Datei auf den Server laden..." platzieren wäre gut.

Gruß
Dirk
Nachricht wurde verfasst am 30.05.2011 um 11:59 Uhr von Schubertmedia Schubertmedia
Hallo Didie,

zu 1: Hast Du das gesamte Script überschrieben? Bei mir geht dies nicht. Wo liegt dein Script, damit ich dies mal testen kann. Sende mir mal eine Email mit der Config.php und den Link, wo ich das Script aufrufen kann.

zu 2: Ist für das nächste Update vorgemerkt.

zu 3: Kann man selber in der Sprachdatei anpassen. Die Sprachdatei ist im Ordner /language

zu 4: Da jeder das Script anders eingebaut hat, wird dies nicht kommen. Das kannst Du in der footer.php bzw. header.php selber einbauen.

Grüße Nico
Nachricht wurde verfasst am 30.05.2011 um 14:58 Uhr von   Didie
Danke für die schnelle Überarbeitung und Infos.
Großes Lob!
Jetzt klappt alles.

Gruß
Dirk
   Antwort schreiben



Bücherregal mit drei Büchern: 'PHP 4 - Grundlagen und Profiwissen' von Hanser Verlag, 'Webdesign in a Nutshell' von O'Reilly Verlag, und 'Webgestaltung' von Galileo Computing.