nicht angemeldet
File-Upload Formular - Sicherheitsvorkehrungen?
Hallo,
ich habe ein Formular, mit dem die Besucher eine Datei (JPG/GIF, etc.) auf den Server schicken koennen.
Die Bilder landen dann im Ordner Userfotos.
Nun meine Frage(n):
Wie sollte der Ordner chmoded werden?
Kann ein Besucher evt. eine Datei hochladen, die Schaden anrichtet etc? Und wie koennte man das verhindern? Gibts da Scriptteile, die ich ins Formular einbauen koennte?
Michael
-
Hi,
Wie sollte der Ordner chmoded werden?
so, dass der Webserver rein schreiben kann, und dass jeder Leserechte hat, der die Daten lesen soll (wahrscheinlich wieder der Webserver).
Kann ein Besucher evt. eine Datei hochladen, die Schaden anrichtet etc?
Ja. Allerdings fällt das in den Bereich "es ist denkbar", da Du selbstverständlich nirgendwo hin schreibst, wo etwas ausgeführt werden kann, und da Du aufpasst, dass nichts überschrieben wird etc.
Und wie koennte man das verhindern?
Überprüfe den Datentyp. Da der Client nicht zwingend etwas mitsenden wird, was als vertrauenswürdig anzusehen ist, bedeutet dies: Analysiere den Inhalt der Datei.
Gibts da Scriptteile, die ich ins Formular einbauen koennte?
Das Formular ist irrelevant. Es stellt lediglich den Wegeplan dar; wer will, kann aber auch ohne einen solchen zu Dir gelangen.
Cheatah
--
X-Will-Answer-Email: No