Hello,

Was muss ich für sichere Uploads mit PHP aus einem Formular heraus beachten?

Geprüft wird der MIME-Typ.

Wie prüfst Du den?

Zusätzlich ist das Uploadverzeichnis durch eine htaccess geschützt, die den Zugriff von überall verbietet.

Es ist außerdem noch wichtig, dass auch das Upload-Temp-Dir geschützt ist. Es sollte auf jeden Fall mit dem Sticky-Bit belegt sein und es sollten auch nur die Eigentümer Zugriff auf die Datei haben (gilt für Linux).

Nun konnte man trotzdem PHP-Skripts und schlimmer noch eine htaccess hochladen, weil text/plain erlaubt ist. Meine Lösung: An das Ende der hochgeladenen Datei wird eine weitere Dateiendung angehängt.

Du kannst auf einem eigenen Server das Verzeichnis in eine noexec-Partition legen
Du kannst für das Verzeichnis jedwede Ausführung / Übergabe der Dateien an Interpreter oder Shells unterbinden.

Das Ablageverzeichnis für die Files sollte möglichst außerhalb der DocumentRoot liegen.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg