• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
راهنمایی برای امن کردن کد php
#1
سلام

کد پی‌اچ‌پی:
<?php
 
header
("Content-Type: application/force-download");
header("Content-Disposition: attachment; filename=\"".$_GET['name']."\"");
$file_content file_get_contents($_GET['name']);
echo 
$file_content;
 
?>
کد بالا داری مشکل امنیتی LFI هست یعنی راحت میشه به صورت زیر ازش سو استفاده کرد
کد:
localhost/file.php?name=../../../../../etc/passwd
سوال بنده اینه چطور میتونم این کد رو امن کنم؟ یعنی کاری کنم که فقط پسوند zip رو دانلود کنه و هر پسوند دیگه به هر شکلی وارد شد ارور بده و اجازه دانلود نده

پشاپیش ممنون

کسی نیست جواب بده؟
  پاسخ
تشکر شده توسط :
#2
باید قبل از اینکه فایل رو سرو کنی چک کنی ببینی کاربر چه فایلی رو میخاد.
اگه اطلاعات فایل ها رو توی دیتابیس داری به جای اسم فایل، فایل ها رو با آیدی شون سرو کن. اگه نه دم دستی ترین راه اینه که فایل ها رو تو یه پوشه بریزی و قبل از سرو چک کنی ببینی فایل درخواستی توی پوشه مربوطه هست یا نه.
  پاسخ
تشکر شده توسط :
#3
فایل تایپ رو با PHP چک کن اگه اون چیزی که میخواستی نبود خطا بده شما اصلا چک نمیکنی که
اگه کفشت پاتو می زد و از ترس قضاوت مردم پابرهنه نشدی و درد رو به پات تحمیل کردی دیگه در مورد آزادی شعار نده !
آلبر کامو
  پاسخ
تشکر شده توسط :
#4
http://www.php.net/manual/en/security.filesystem.php
  پاسخ
تشکر شده توسط : mehdints


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان