PDA

View Full Version : سوال: فیلتر کدرن پسوندهای خطرناک برای سیستم آپلود فایل



idocsidocs
پنج شنبه 27 مرداد 1390, 13:22 عصر
من قبلا فکر می کردم که اسکریپتهای پی اچ پی فقط با پسوند php اجرا مشن اما الان می بینم که این اسکریپتها با پسوند php4 هم اجرا می شن ! لطفا بگید که از کجا می تونم یه لیست کامل از این پسوندهای مخرب پیدا کنم؟

eshpilen
پنج شنبه 27 مرداد 1390, 13:29 عصر
بهتره برای پسوندهای مجاز در آپلود از وایت لیست استفاده کنی.
یعنی فقط پسوندهایی مثل jpg - gif - png - zip و خلاصه اونایی که کاملا استاندارد و شناخته شده هستن رو اجازه بدی.
اگر دقت کنی بیشتر جاها هم همین کار رو کردن.
اگر کاربر هر فایل دیگری هم داشته باشه میتونه بذاره توی یک فایل زیپ و آپلود کنه. اینطوری خطر اون فایل برای سرور شما وجود نداره.

idocsidocs
جمعه 28 مرداد 1390, 17:32 عصر
بهتره برای پسوندهای مجاز در آپلود از وایت لیست استفاده کنی.
یعنی فقط پسوندهایی مثل jpg - gif - png - zip و خلاصه اونایی که کاملا استاندارد و شناخته شده هستن رو اجازه بدی.
اگر دقت کنی بیشتر جاها هم همین کار رو کردن.
اگر کاربر هر فایل دیگری هم داشته باشه میتونه بذاره توی یک فایل زیپ و آپلود کنه. اینطوری خطر اون فایل برای سرور شما وجود نداره.
به دلیل تعداد زیاد پسوندها مخرب، منم تصمیم گرفتم که به وایت لیست رو بیارم. چون توی یه سرور ممکنه تعداد زیادی اسکریپت اجرا بشه. مثلا اسکریپتهای جاوا، پایتون، پرل و ...

یه لیست سفید می شه معرفی کنید؟

eshpilen
جمعه 28 مرداد 1390, 17:57 عصر
لیست سفید که خیلی آسونه. مثلا نگاه کن همین فروم اجازهء ضمیمه کردن چه پسوندهایی رو میده.
معمولا ایناست: jpg - jpeg - gif - png - zip
با حروف بزرگ و کوچک.
البته میتونه بیشتر از اینا هم باشه، ولی چندان ضرورتی نداره و ریسک رو بالا میبره.