[PHP] Is dit een veilig upload-script?

chatfreak2002 · **11-09-2002, 18:18**

Zonder dat anderen mijn pass op de een of andere manier kunnen opvragen of een hack kunnen insturen?

PHP-code:


			
<HEAD><TITLE>Martin`s Upload pagina</TITLE></HEAD>

 <body bgcolor="#ababab" text="#000000" id="all" leftmargin="0" topmargin="0" marginwidth="10" marginheight="0" link="#0000CC" vlink="#0000CC" alink="#ffffff">

 

 <?php



   if($submit && $userfile != "none") {

        $thefilesize = filesize("inc.php");

        $filenum = fopen("inc.php","r");

        $nr = fread($filenum, $thefilesize+1);

        fclose($filenum);

        $nr++;

        $filenum = fopen("inc.php","w");

        fwrite($filenum,$nr);

        fclose($filenum);

        move_uploaded_file($userfile,  "foto/$nr.$file_type");

echo"

                           <LINK HREF=style.css REL=stylesheet TYPE=text/css>

<DIV ALIGN=CENTER><B>



            <P>&nbsp;

            <TABLE border=0 cellspacing=0 align=center WIDTH=450>

            <TR><TD ALIGN=CENTER BGCOLOR=#455c92><font class=nf color=#FAD850><b>Foto succesvol verstuurd</b></font></TD></TR>

    



            <TR>

            <TD bgcolor=#FAD840 ALIGN=CENTER><font class=nf>

De foto is succesvol verstuurd. Het adres van de foto is:</B><BR>

<INPUT TYPE=TEXT VALUE=http://chatfreak.endoria.net/upload/foto/$nr.$file_type SIZE=65><P>De oudere foto`s kan je <A HREF=foto>hier</A> bekijken.

            

            </FONT></TD>

            </TR></TABLE>









    

    ";

   }



   ?>

   





   <FORM ENCTYPE="multipart/form-data" ACTION="index.php" METHOD=POST>

       

                           <LINK HREF=style.css REL=stylesheet TYPE=text/css>

            <!-- kopje hoofdonderwerp -->

            <P>&nbsp;

            <TABLE WIDTH=450 border=0 cellspacing=0 align=center BGCOLOR=#455c92>

            <TR><TD ALIGN=CENTER><font class=nf color=#FAD850><b>Foto uploaden</b></font></TD></TR>

            </TABLE>

            <!-- einde kopje hoofdonderwerp -->



            <TABLE WIDTH=450 border=0 cellspacing=0 BGCOLOR=#455c92 ALIGN=CENTER>

            <TR><TD>

            <TABLE WIDTH=448 BORDER=0 CELLSPACING=0>

            <TR><TD bgcolor=#FAD840>



            <TABLE BORDER=0 WIDTH=100%>



            <TR>

            <TD><font class=nf>



            <TABLE BORDER=0>

                <TR VALIGN=MIDDLE><TD><FONT SIZE=-1><B>Foto om te uploaden:</B></FONT></TD><TD><INPUT style='background: #dddddd; border-color: 003366; font-family: Verdana; color: 000000; border-width: 1; font-size: 11px; border-height: 1; border-style: solid' NAME="userfile" TYPE="file"></TD></TR>

                <TR VALIGN=MIDDLE><TD><FONT SIZE=-1><B>Bestandstype:</B></FONT></TD><TD><input type="radio" value="jpg" checked name="file_type"><FONT SIZE=-1>jpg (standaard)</FONT>

    <input type="radio" value="gif" name="file_type"><FONT SIZE=-1>gif</FONT>   <input type="radio" value="bmp" name="file_type"><FONT SIZE=-1>bmp</FONT></TD></TR>

                        <TR align=center VALIGN=MIDDLE><TD COLSPAN=2><INPUT TYPE="submit" style='background: #dddddd; border-color: 003366; font-family: Verdana; color: 000000; border-width: 1; font-size: 11px; border-height: 1; border-style: solid' VALUE="Upload!" name="submit"></TD></TR>

                        </TABLE>



            

            </FONT></TD>

            </TR></TABLE>



                        </TD>

                    </TR>

            </TABLE>



            <TABLE BGCOLOR=#455c92 WIDTH=400 BORDER=0 CELLSPACING=0>

            <TR><TD HEIGHT=1></TD></TR></TABLE>



            </TD></TR></TABLE>

       



       

   </FORM>

  



</body>



</html>

Cryptic Winterstorm · **11-09-2002, 18:39**

er schijnt een of ander security probleem te zijn met move_uploaded_file

verder heb ik geen zin om de rets nu ff door te gaan lezen

JJzD · **12-09-2002, 00:00**

$userfile != "none"

weet je cker dat dat werkt??
moet dat niet "" of een !isset($userfile) zijn??

en voor de rest moet je hem randomnr geven zodat je meer kan opslaan

van security weet ik te weinig

chatfreak2002 · **12-09-2002, 06:16**

Citaat:

JJzD schreef:
$userfile != "none"

weet je cker dat dat werkt??
moet dat niet "" of een !isset($userfile) zijn??

en voor de rest moet je hem randomnr geven zodat je meer kan opslaan

van security weet ik te weinig

het sctript werkt prima, de afbeeldingen krijgen een oplopend nummer toegewezen. Maar ik wil dus weten of anderen geen tgeintjes met dit script uit kunnen halen....

Koen · **12-09-2002, 07:46**

Citaat:

Cryptic Winterstorm schreef:
er schijnt een of ander security probleem te zijn met move_uploaded_file

Volgens mij is er geen security probleem mee, het werkt alleen niet in safe mode van php als ik me niet vergis.

chatfreak2002 · **13-09-2002, 08:41**

Dus niemand kan met dut script mijn pass bemachtigen of iets anders "verkeerds"doen?

11-09-2002, 18:39
Cryptic Winterstorm	er schijnt een of ander security probleem te zijn met move_uploaded_file verder heb ik geen zin om de rets nu ff door te gaan lezen __________________ I have a dream.

12-09-2002, 00:00
JJzD	$userfile != "none" weet je cker dat dat werkt?? moet dat niet "" of een !isset($userfile) zijn?? en voor de rest moet je hem randomnr geven zodat je meer kan opslaan van security weet ik te weinig __________________ -\|-

13-09-2002, 08:41
chatfreak2002	Dus niemand kan met dut script mijn pass bemachtigen of iets anders "verkeerds"doen?

Advertentie