View Full Version : مشکل امنیتی در آپلود
2undercover
دوشنبه 01 آبان 1391, 15:50 عصر
سلام.
من برای آپلود عکس تو سایتم در قسمت مدیریت با یک مشکل مواجه شدم.
اونم این که یک کاربر شاید خودش action فرم خودشو توی برنامه ای که خود نوشته به اسکریپت من لینک کنه این جوری درخواست برنامه اش به سایت من ارسال میشه خوب اینجوری عکسش آپلود میشه.آیا همچین اتفاقی امکان داره؟؟؟
Unique
سه شنبه 02 آبان 1391, 01:52 صبح
دوست عزیز بخش مدیریت هر سایت معمولا باید کاربر لاگین کنه تا بتونه مثلا عکس توی فرم شما ارسال کنه ! پس فرقی نمیکنه کاربری که اطلاعات لاگین را میدونه داره از مروگر استفاده میکنه یا خودش یک اسکریپت نوشته که این کار را بکنه ! مهم اینه که کسی که نمیدونم اطلاعات لاگین را تحت هیچ شرایطی نمیتونه عکس ارسال کنه چون شما کاربر را اعتبارسنجی میکنی ! بحث شما یک موضوع کاملا عادیه.
2undercover
سه شنبه 02 آبان 1391, 14:18 عصر
منظورم اینکه مثلا من تو صفحه upload.php اسکریپت های آپلود رو گذاشتم.
حالا یک نفر یک صفحه تو کامپیوتر خودش رو local ایجاد کنه و یک input برای فایل بزاره و action فرمشو به اسکریپت من ارسال کنه خوب اینجوری فایلاش آپلود میشن؟
colors
سه شنبه 02 آبان 1391, 14:53 عصر
سلام
بله آپلود میشن. همین الان رو یاهو تست کردم و جواب داد.
البته اگه واقعا نیازه که جلوگیری بشه، فکر کنم راههای زیادی داره. ضمنا فکر نکنم زیاد مهم باشه. چون اطلاعات رو میشه خیلی راحت در سمت سرور چک کرد و اگه اون چیزی که میخوای نباشه اجازه آپلود ندی و هیچ فرقی نمیکنه که اطلاعات از کجا بیاد
plague
سه شنبه 02 آبان 1391, 23:22 عصر
بجای اینکه عکسای آپلودی رو مستقیما بریزی تو فولدر عکسها برای استفاده اول ببرشون تویه دایرکتوری موقت مثل temp بعد با php آز روی عکس آپلود شده یه کپی تهیه کن و بریز توی دایرکتوری عکسهات برای استفاده و اون نسخه آپلود شده رو پاک کن
اینجوری مهم نیست دیگه چه کسایی , از کجا و چه چیزی رو آپلود میکنه (البته ز نظر امنیتی !)
Unique
چهارشنبه 03 آبان 1391, 03:14 صبح
منظورم اینکه مثلا من تو صفحه upload.php اسکریپت های آپلود رو گذاشتم.
حالا یک نفر یک صفحه تو کامپیوتر خودش رو local ایجاد کنه و یک input برای فایل بزاره و action فرمشو به اسکریپت من ارسال کنه خوب اینجوری فایلاش آپلود میشن؟
یا من نمیگیریم شما و دوستان چی میگین یا ..
اگه شما یک فرم عمومی گذاشتی که هر شخصی هر فایلی را خواست از طریقش ارسال کنه که اصلا هیچ اهمیتی نداره طرف داره از سایت شما میفرسته یا از روی Local و شما هم اصلا سوالتون معنی پیدا نمیکنه ! اگه هم بخش مدیریت سایت هست و شما چک میکنی کی داره میفرسته که دیگه هر کسی از روی local نمیتونه بفرسته مگه اینکه کلمه کاربری و پسورد بدونه ! حالا منظور شما چیه ؟
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.