Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Beveiligen van bestanden. (Opgelost)

JBke - 22/07/2007 13:01
PHP gevorderde		Hoi, Zit met volgende vraag/probleem. Ik ben met een upload script bezig, image met GD-watermerk functies ed werken prachtig enkel volgende vraag. Er kunnen ook .php en andere script bestanden worden geupload. om nu tegen te gaan dat na upload de gebruiker ook de .php bestanden kan uitvoeren kan ik uiteraard de extensie veranderen na upload maar dat is niet handig voor wat ik het ga gebruiken. Ik dacht eerst aan een aparte beveiligde map met .htaccess deny from all maar dit is niet veilig genoeg. Heeft er iemand een manier om na upload bvb een bestand te beveiligen zodat deze niet kan aangeroepen worden maar wel bvb kan gebruikt worden om de code gehighlight te laten zien. Blijkbaar werkt het niet met .htaccess gewoon deny from all, al zou de server er dan normaal toch moeten aankunnen. Iemand een oplossing om bepaalde bestanden , en of map met waar bepaalde extensies beveiligd worden tegen uitvoeren maar wel gebruikt kunnen worden om bvb te includen of uit te lezen??

8 antwoorden

Gesponsorde links

strikedancer - 22/07/2007 13:16
Onbekend		Je kan bijvoorbeeld bij het uploaden de bestandsnaam een extra toevoeging mee geven van de gebruiker. ik heb zelf een foto upload script en als ze daar een foto uploaden word er voor de bestandsnaam hun email adres bij gezet dus bijv: foto.jpg wordt opgeslagen als email@adres.nl_foto.jpg zoiets zou jij ook kunnen doen. dan kunnen ze het bestand niet aan roepen want ze weten niet wat er aan toegevoegt word.

JBke - 22/07/2007 13:25
PHP gevorderde		is inderdaad een leuk idee, al moet ik dan in andere scripts steeds rekening houden met het voorvoegsel, en kan 1 uniek voorvoegsel nemen maar als die .php of zo geinclude word of wordt weergegeven als highlight is het weer ZEER eenvoudig om achter de bestandsnaam te komen MET voorvoegsel?? Niet?

strikedancer - 22/07/2007 13:28 (laatste wijziging 22/07/2007 13:29)
Onbekend		als je het voorvoegsel alleen gebruikt in een script en niet in een link dan is er niks aan de hand. maar moet je wel je broncode beveiligen wat mij betreft een veiligere manier is. EDIT: want ik heb eve na gekenen maar ik kan op mijn site op geen 1 of andere manier achterhalen wat er voor de bestandsnaam van de foto staat

JBke - 22/07/2007 13:31
PHP gevorderde		dan is de naam op de server ook zonder voorvoegsel he? Als je enkel in je scripts het voorvoegsel gaat gebruiken staat het geuploade bestand nog steeds met originele naam op de server en kan deze aangeroepen worden. Had echt graag een manier gevonden bvb met rewrite rules voor een bepaalde map. Heb niet veel kaas gegeten van mod_Rewrite zal me er eens in verdiepen. toch bedankt.

strikedancer - 22/07/2007 13:34
Onbekend		ja bij mij worden ze opgeslagen in een map met de voorvoegsels erbij. maar je kunt mis ook inplaats van dat ze een php file kunne uppe dat veranderen naar een txt bestand. dus .php niet toestaan bij het uploaden en als ze een script of wat dan ook willen uploaden dat het dan een .txt bestand moet zijn. dan kun je het wel lezen maar niet gebruiken.

JBke - 22/07/2007 13:38
PHP gevorderde		thx voor de reacties strikedancer, ga eens zoeken wat voor mij het beste uitkomt omdat sommige admin gebruikers WEL .php en .asp mogen uploaden en uitvoeren. Ga iets maken op basis van ledenrechten of zoiets en een voorvoegsel op basis van wie het heeft geupload en wie het mag bekijken en/of mag wijzigen of mag laten parsen. denk je dat dat veilig is. Als elke gebruiker nu een uniek SESSION ID heeft bvb en ik voeg dat toe aan de bestandsnaam kan ik daar op basis van ook zien wie ze mag openen en wie niet?

strikedancer - 22/07/2007 13:43 (laatste wijziging 22/07/2007 13:45)
Onbekend		ja dat zou je kunnen doen maar ik zou niet vertrouwen op alleen een id session dan zou je bijv session id_email@adres.nl_bestand.php kunnen doen. dat is een heel stuk veiliger. ik kan niet precies vertellen waarom maar zo is mij dat een keer uit gelegd dat je niet alleen op de id kunt vertrouwen. EDIT: maar je idee is goed

JBke - 22/07/2007 13:50
PHP gevorderde		bedankt voor uw intresse en moeite. Ga het vanmiddag eens rustig uitpluizen.

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten