Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Url adres profielfoto niet zichtbaar na uploaden.

Topken - 08/05/2016 09:03 (laatste wijziging 08/05/2016 09:11)

Lid

Ik maak gebruik van de code die op mijn index.php staan: Dus urladres wordt dan getoond: index.php?pagina=....

Ik heb een ledensysteem waarbij de lid hun profiel kunnen bewerken en of opslaan. Ook kunnen de lid een profielfoto (avatar) toevoegen en of verwijderen.

Echter als één van de leden een profielfoto gaat toevoegen, dan toont url adres van deze profielfoto niet aan: index.php?pagina=leden/avatar/2.jpg, maar paginas/leden/avatar/2.jpg. (Kortom url adres wordt dan volledig zichtbaar).

Dit is natuurlijk wat ik NIET wil ivm veiligheid. Hoe lost ik dan op? Iemand hopelijk een idee?

Bedankt alvast.

Code:

php code - Bekijk de code zonder highlighting - Klap code in

<?php 

if(empty($_GET['pagina']))
	header("location: ../../index.php?pagina=leden/avatar");

beveiliging(4);

if($_GET['actie'] == "verzenden")
{ 
	if(!is_uploaded_file($_FILES['bestand']['tmp_name'])) 
	{	
		echo "<div class=\"titel\">Fout</div>";
		echo "<div class=\"bericht\">Je hebt geen afbeelding geselecteerd... <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
	}
	else
	{ 
		$extensie = explode(".", $_FILES['bestand']['name']);  
		$extensie = strtolower(end($extensie));
		$extensie = trim($extensie);

		list($breedte, $hoogte) = @getimagesize($_FILES['bestand']['tmp_name']);
		
		if($extensie != "gif" && $extensie != "jpg" && $extensie != "jpeg" && $extensie != "png") 
		{
			echo "<div class=\"titel\">Fout</div>";
			echo "<div class=\"bericht\">Je kan alleen maar .gif, .png en .jpg bestanden uploaden! <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
		}
		elseif($_FILES['bestand']['size'] > $website['size'])
		{ 
			echo "<div class=\"titel\">Fout</div>";
			echo "<div class=\"bericht\">Het bestand is te groot... Maximaal ".$website['size']." bytes... <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
		} 
		elseif($hoogte > $website['avatar'] || $hoogte < 20 || $breedte > $website['avatar'] || $breedte < 20)
		{
			echo "<div class=\"titel\">Fout</div>";
			echo "<div class=\"bericht\">De afbeelding mag niet groter zijn dan ".$website['avatar']."x".$website['avatar']." px en niet kleiner dan 20x20 px. <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
		}
		else
		{
			if(file_exists("paginas/leden/avatar/".$_COOKIE['id'].".jpg"))
				unlink("paginas/leden/avatar/".$_COOKIE['id'].".jpg");

			copy($_FILES['bestand']['tmp_name'], "paginas/leden/avatar/".$_COOKIE['id'].".jpg"); 

			echo "<div class=\"titel\">Uploaden</div>";
			echo "<div class=\"bericht\">Je avatar is succesvol geüpload...</div>";
		} 
	} 
} 
elseif($_GET['actie'] == "verwijderen")
{
	if(file_exists("paginas/leden/avatar/".$_COOKIE['id'].".jpg"))
		unlink("paginas/leden/avatar/".$_COOKIE['id'].".jpg");

	echo "<div class=\"titel\">Verwijderen</div>";
	echo "<div class=\"bericht\">Je avatar is succesvol verwijderd...</div>";
}
else
{
	echo "<div class=\"titel\">Uploaden</div>";
	echo "<div class=\"bericht\">";
	echo "<form action=\"index.php?pagina=leden/avatar&actie=verzenden\" enctype=\"multipart/form-data\" method=\"post\" name=\"formulier\" onsubmit=\"wachten()\">"; 
	echo "<input name=\"bestand\" type=\"file\"> <input type=\"submit\" name=\"knop\" value=\"Verzenden\">";
	echo "</form>"; 
	echo "</div>";

	if(file_exists("paginas/leden/avatar/".$_COOKIE['id'].".jpg"))
	{
		echo "<div class=\"titel\">Huidige avatar</div>";
		echo "<div class=\"bericht\"><img src=\"paginas/leden/avatar/".$_COOKIE['id'].".jpg\"><br><a href=\"javascript:beheer('Weet je zeker dat je deze avatar wilt verwijderen?','index.php?pagina=leden/avatar&actie=verwijderen')\">Verwijderen</a></div>";
	}
}
?>

<?php 
 
if(empty($_GET['pagina']))
	header("location: ../../index.php?pagina=leden/avatar");
 
beveiliging(4);
 
if($_GET['actie'] == "verzenden")
{ 
	if(!is_uploaded_file($_FILES['bestand']['tmp_name'])) 
	{	
		echo "<div class=\"titel\">Fout</div>";
		echo "<div class=\"bericht\">Je hebt geen afbeelding geselecteerd... <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
	}
	else
	{ 
		$extensie = explode(".", $_FILES['bestand']['name']);  
		$extensie = strtolower(end($extensie));
		$extensie = trim($extensie);
 
		list($breedte, $hoogte) = @getimagesize($_FILES['bestand']['tmp_name']);
 
		if($extensie != "gif" && $extensie != "jpg" && $extensie != "jpeg" && $extensie != "png") 
		{
			echo "<div class=\"titel\">Fout</div>";
			echo "<div class=\"bericht\">Je kan alleen maar .gif, .png en .jpg bestanden uploaden! <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
		}
		elseif($_FILES['bestand']['size'] > $website['size'])
		{ 
			echo "<div class=\"titel\">Fout</div>";
			echo "<div class=\"bericht\">Het bestand is te groot... Maximaal ".$website['size']." bytes... <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
		} 
		elseif($hoogte > $website['avatar'] || $hoogte < 20 || $breedte > $website['avatar'] || $breedte < 20)
		{
			echo "<div class=\"titel\">Fout</div>";
			echo "<div class=\"bericht\">De afbeelding mag niet groter zijn dan ".$website['avatar']."x".$website['avatar']." px en niet kleiner dan 20x20 px. <a href=\"javascript:history.go(-1)\">Ga terug</a></div>";
		}
		else
		{
			if(file_exists("paginas/leden/avatar/".$_COOKIE['id'].".jpg"))
				unlink("paginas/leden/avatar/".$_COOKIE['id'].".jpg");
 
			copy($_FILES['bestand']['tmp_name'], "paginas/leden/avatar/".$_COOKIE['id'].".jpg"); 
 
			echo "<div class=\"titel\">Uploaden</div>";
			echo "<div class=\"bericht\">Je avatar is succesvol ge�pload...</div>";
		} 
	} 
} 
elseif($_GET['actie'] == "verwijderen")
{
	if(file_exists("paginas/leden/avatar/".$_COOKIE['id'].".jpg"))
		unlink("paginas/leden/avatar/".$_COOKIE['id'].".jpg");
 
	echo "<div class=\"titel\">Verwijderen</div>";
	echo "<div class=\"bericht\">Je avatar is succesvol verwijderd...</div>";
}
else
{
	echo "<div class=\"titel\">Uploaden</div>";
	echo "<div class=\"bericht\">";
	echo "<form action=\"index.php?pagina=leden/avatar&actie=verzenden\" enctype=\"multipart/form-data\" method=\"post\" name=\"formulier\" onsubmit=\"wachten()\">"; 
	echo "<input name=\"bestand\" type=\"file\"> <input type=\"submit\" name=\"knop\" value=\"Verzenden\">";
	echo "</form>"; 
	echo "</div>";
 
	if(file_exists("paginas/leden/avatar/".$_COOKIE['id'].".jpg"))
	{
		echo "<div class=\"titel\">Huidige avatar</div>";
		echo "<div class=\"bericht\"><img src=\"paginas/leden/avatar/".$_COOKIE['id'].".jpg\"><br><a href=\"javascript:beheer('Weet je zeker dat je deze avatar wilt verwijderen?','index.php?pagina=leden/avatar&actie=verwijderen')\">Verwijderen</a></div>";
	}
}
?>

3 antwoorden

Gesponsorde links

Jointjeff - 08/05/2016 10:45
HTML interesse		Hoi, Wat is er op tegen dat de URL volledig zichtbaar is? Waarom wordt het dan onveilig?

Topken - 08/05/2016 11:14 (laatste wijziging 08/05/2016 11:15)
Lid		Zodat iemand mijn mapstructuur kent, denk aan bv hacken? Of is dat onzin? Volgens mij is het veiliger: domeinnaam/images/Hier profielfoto's uploaden dan domeinnaam/index.php?pagina=leden/avatar/Hier profielfoto's uploaden Als je url adres bekijkt via afbeeldingsinfo zie je staan: domeinnaam/paginas/leden/avatar/2.jpg Dan weet je mijn map structuur nu dankzij "paginas". Of maakt het toch niks uit?

Thomas - 08/05/2016 14:59 (laatste wijziging 08/05/2016 15:00)
Moderator		Waarom zou je in hemelsnaam een afbeelding willen serveren via een PHP script? Een avatar lijkt mij niet super persoonlijk? En anders moet je het wellicht niet behandelen als een avatar. Dan nog een aantal opmerkingen over bovenstaande code: * header('Location: ...'); transporteert je pas na afloop van het script naar de nieuwe locatie, tenzij je dit dus direct laat volgen door een exit wordt alle code die na het header() statement komt uitgevoerd. Afhankelijk van wat je "beveiliging" functie doet betekent het aan- of afwezig zijn van een exit-statement het verschil tussen een veilig of onveilig script. * je bent daar bezig met de verwerking van een formulier, en het produceren van output? dit lijkt mij een nogal rare spagaat; ik zou je aanraden deze acties beter te scheiden. * echo echo echo echo... Het is gewoon mogelijk om een PHP-blok te onderbreken door deze af te sluiten, en later weer voort te zetten met respectievelijk ?> en <?php hoor. * cookies worden aan de client zijde beheerd, ik kan hiermee dus effectief iemand anders zijn avatar weggooien? Ik hoop ook van harte dat je $_COOKIE['id'] niet gebruikt om een ingelogde gebruikers te identificeren? Dat is helemaal onveilig... Volgens mij rammelt het qua security aan alle kanten.

Gesponsorde links

Je moet ingelogd zijn om een reactie te kunnen posten.

Actiefste leden van de maand

Actieve forumberichten