Hallo dedlfix,

Hast du nun den Dateinamen der Datei, die PHP beim Upload in Emfang genommen und in sein Temp-Verzeichnis abgelegt hat, aus $_FILES extrahieren können?

Der Dateiname wird richtig (in meinem Beispiel als 'back.gif') als Kontrollausgabe angezeigt. s. mein Posting mein posting (sorry: weiss leider nicht, wie sonst auf mein posting zu verweisen.

Dieser Name muss der erste Parameter von move_uploaded_file() sein.

mein erster Parameter ist die Variable $userfile selbst. In anderen Formularen, die ich erstellt habe, funktioniert das

Dein Code hat noch viel mehr Fehler drin, als das falsche Nachsehen in $_POST['userfile']. Da gibt es eine beispielsweise eine Stelle, da greifst du auf $_FILES['thefile'] zu, was gar nicht existiert.

Diese $_FILES-Abfrage habe ich später (als Reaktion auf eure Tipps) gemacht (ist also nicht im ursprünglichen Code, und wurde bereits schon angepasst. 'thefile' ist natürlich 'userfile'.)

Der nicht beachtete Kontextwechsel beim Erstellen des SQL-Statements ist ein weiterer Fehler, der zu Lasten der Sicherheit deines Servers geht.

Auch die mysql-Abfrage wurde angepasst zu:

mysql_connect($dbserver, $dbuser, $dbpass)or die("Keine Verbindung zum Server möglich!");  
mysql_select_db($dbname)or die("Keine Datenbankverbindung möglich!");  

Gruss
hannes

Hallo Der Martin,

wir auch, weil du nicht erkennen lässt, dass du den Hinweisen überhaupt nachgehst.

Ich bin jeder einzelnen Antwort von euch nachgegangen und habe angepasst/reagiert/kommentiert.

Der upload funktioniert einfach nicht
Doch, er funktioniert ...

Ja, ins tmp-Verzeichnis

Von dort musst du sie nur noch wegkopieren oder -verschieben (sinnigerweise mit move_uploaded_file(), das ist dafür gedacht), bevor das Script beendet wird.

das mache ich ja mit:
move_uploaded_file($userfile, "$dir/$subdir/".$userfile_name);
ich habe erfolglos auch dies versucht:
move_uploaded_file($userfile, "./shop/pics/".$userfile_name);

Wie oft willst du es denn noch lesen?!

Ich habe jedes posting gelesen, versucht die Tipps umzusetzen und die Erfolge/Misserfolge in weiteren postings bekannt zu geben. Was soll ich noch lesen?

Gruss
hannes

Hello,

Hi!

Meine Frage war doch nicht, was dokumentiert ist, sondern, wie die die Funktion das "uploaded" feststellt. Da der Temporärdateiname vom Server-System ausgewürfelt wird und die Einstellung für 'upload_tmp_dir' mit PHP_INI_SYSTEM gekennzeichnet ist, kann ich mir nicht vorstellen, welchen Einfluss der Client auf diese Namen bzw. den Pfad nehmen könnte.

Nicht auf den Namen der hochgeladenen Datei, aber auf den String, den du bei copy() als ersten Parameter übergibst. Und die Funktion weiß natürlich, welche Datei hochgeladen wurde, weil PHP sie ja grad eben in Empfang genommen hat - genau die und nicht irgendwelche anderen, die andere Leute hochgeladen haben oder die schon auf dem System sind.

Da kommen wir der Sache also schon näher. "Die Funktion weiß...". Woher weiß die das? Was weiß die mehr, als es $_FILES sowieso schon weiß?

Was macht also move_uploaded_file() zusätzlich, um die Sicherheit noch zu erhöhen?

Es stellt sicher, dass ein Kopieren mit manipuliertem Dateinamen - sprich: anderer als der hochgeladener Dateien - nicht stattfinden kann.

Wer sollte den denn manipulieren, wenn das Script, ihn aus $_FILES['???']['tmp_name'] oder $_FILES['???']['tmp_name'][x] (bei mehreren Files unter dem Namen ['???'] entnimmt.

Soll das heißen, dass in $_FILES 'nur so ungefähr' und 'manchmal' die richtigen Temporärdateinamen drinstehen?

Ich halte die Funktion (bei Verwendung von $_FILES) immer noch für Quatsch, solange mir niemand zeigen kann, was die mehr kann.

Wen soll es eigentlich schützen?
Den Werserver.
*mmh*
Leuchtet mir nicht ein.

Ungewollte Offenlegung von Informationen auf dem Server wird verhindert.

*grummel*

Das ist mir vollkommen klar. Ich frage mich nur, durch welche Maßnahme an welcher Stelle soll das verhindert werden? mMn kann hier nichts eingeschleppt werden. Und wenn der Scriptautor einen Fehler macht, kann er die Datei ggf. auch gleich selber klauen, wenn er dran kommt.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

Hello Martin,

tief einatmen ...

*eins-zwei-drei-vier-fünf-sechs-sieben-acht-neun-zehn*

und ausatmen. Jetzt besser? :-)

Besser ;-)

Meine Frage war doch nicht, was dokumentiert ist, sondern, wie die die Funktion das "uploaded" feststellt.

War mir klar, dass du auf das "wie" hinaus wolltest. Deswegen habe ich nochmal im Quellcode gewühlt. So ganz bin ich noch nicht dahintergekommen, aber es scheint so, als ob beim eigentlichen Upload (also noch bevor das Script gestartet wird) über den Namen jeder Datei, die hochgeladen und mit einem Zufallsnamen im temp-Verzeichnis abgelegt wurde, ein Hash berechnet und abgelegt wird.
Und move_uploaded_file() überprüft dann genau wie is_uploaded_file(), ob die Datei mit dem angegebenen Namen existiert, ob ein Hash dazu existiert, und ob er mit dem Dateinamen zusammenpasst.
Wenn sich das jetzt ein wenig vage anhört, dann liegt es daran, dass ich den Ablauf auch noch nicht so ganz begriffen habe.

Jetzt dämmert es mir, was die sich dabei gedacht haben könnten. In einer Shared-Hosting-Umgebung wäre es denkbar, dass ein Administrator keine Ahnung hatte von PHP- und Domaineinrichtung, und das Upload-Tmp-Dir daher auf /tmp liegt - für alle Domains gemeinsam.

Da wäre es also möglich, dass jemand mein gerade hochgeladenes File im Temporärverzeichnis manipuliert, bevor ich es verschoben habe in meinen Account. Das geht aber nur bei der Modulversion. Bei der (Fast-)CGI-Version gehört die Datei einem getrennten Prozess pro Request und kann nur vom Eigentümer verändert werden (t-Flag) http://en.wikipedia.org/wiki/Sticky_bit (da steht allderings nichts von Schreibrechten, sondern nur vom Namen *?*).

Wenn der Hash nicht mehr zur Datei passt, hat jemand gefummelt.

Bei Linux-Systemen sollte das bei Verwendung der Standardeinstellungen nicht möglich sein

(Wo steht es im Quellcode? Wenn es jemand verlinken kann, brauch ich nicht erst lange zu suchen, sonst fang ich heute Nacht vielleicht damit an...)

In ./ext/standard/basic_functions.c ab Zeile 5787 (für PHP 5.3.6).

Da schaue ich nachher nochmal genauer nach, ob ich das verstehe. Ich muss auch immer etwas kämpfen. Wir sollten uns mal von Christian Seiler einen Crashkurs geben lassen. Der wäre mir auch etliche Euronen wert :-) Alternativ beantrage ich Gehirn-Cloning ;-P

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

Hello Martin,

In ./ext/standard/basic_functions.c ab Zeile 5787 (für PHP 5.3.6).

Es geht also um diese beiden Funktions-Baumuster...
(die sind jetzt aus der 5.3-dev, die neuere habe ich noch nicht runtergeladen)

Das heißt also, wir müssen nach SG() suchen und ggf. noch nach zend_hash_exists()

#------------------

/* {{{ proto bool is_uploaded_file(string path)
   Check if file was created by rfc1867 upload */
PHP_FUNCTION(is_uploaded_file)
{
char *path;
int path_len;

if (!SG(rfc1867\_uploaded\_files)) {  
	RETURN\_FALSE;  
}  

if (zend\_parse\_parameters(ZEND\_NUM\_ARGS() TSRMLS\_CC, "s", &path, &path\_len) == FAILURE) {  
	return;  
}  

if (zend\_hash\_exists(SG(rfc1867\_uploaded\_files), path, path\_len + 1)) {  
	RETURN\_TRUE;  
} else {  
	RETURN\_FALSE;  
}  

}
/* }}} */

#------------------------

/* {{{ proto bool move_uploaded_file(string path, string new_path)
   Move a file if and only if it was created by an upload */
PHP_FUNCTION(move_uploaded_file)
{
char *path, *new_path;
int path_len, new_path_len;
zend_bool successful = 0;

#ifndef PHP_WIN32
int oldmask; int ret;
#endif

if (!SG(rfc1867\_uploaded\_files)) {  
	RETURN\_FALSE;  
}  

if (zend\_parse\_parameters(ZEND\_NUM\_ARGS() TSRMLS\_CC, "ss", &path, &path\_len, &new\_path, &new\_path\_len) == FAILURE) {  
	return;  
}  

if (!zend\_hash\_exists(SG(rfc1867\_uploaded\_files), path, path\_len + 1)) {  
	RETURN\_FALSE;  
}  

if (PG(safe\_mode) && (!php\_checkuid(new\_path, NULL, CHECKUID\_CHECK\_FILE\_AND\_DIR))) {  
	RETURN\_FALSE;  
}  

if (php\_check\_open\_basedir(new\_path TSRMLS\_CC)) {  
	RETURN\_FALSE;  
}  

VCWD\_UNLINK(new\_path);  
if (VCWD\_RENAME(path, new\_path) == 0) {  
	successful = 1;  

#ifndef PHP_WIN32
oldmask = umask(077);
umask(oldmask);

	ret = VCWD\_CHMOD(new\_path, 0666 & ~oldmask);  

	if (ret == -1) {  
		php\_error\_docref(NULL TSRMLS\_CC, E\_WARNING, "%s", strerror(errno));  
	}  

#endif
} else if (php_copy_file_ex(path, new_path, STREAM_DISABLE_OPEN_BASEDIR TSRMLS_CC) == SUCCESS) {
VCWD_UNLINK(path);
successful = 1;
}

if (successful) {  
	zend\_hash\_del(SG(rfc1867\_uploaded\_files), path, path\_len + 1);  
} else {  
	php\_error\_docref(NULL TSRMLS\_CC, E\_WARNING, "Unable to move '%s' to '%s'", path, new\_path);  
}  

RETURN\_BOOL(successful);  

}
/* }}} */

Wenn es nicht um den Inhalt der Files gehen sollte, sondern nur um den Namen, dann halte ich diese Funktionen für nutzlosen Overhead. Denn das Array $_FILES sollte sicher sein und somit sollte zumindest der Name der Temporärdatei nicht manipuliert werden können, da dieser vom System kommt und das Array nur der jeweiligen Scriptinstanz zur Verfügung steht. Hingegen könnte das File in einem gemeinsam genutzten Bereich liegen und auch das t-flag bei Linux schützt nicht gegen Manipulation des Files, sondern nur gegen Löschen/Verschieben oder Namensänderung.

Move_uploaded_file() war genau der Punkt, an dem ich im Wiki-Artikel jetzt hängengeblieben war. Ohne Kenntnis der Zusammenhänge mag ich das nicht gebetsmühlenartig wieder zur Bentutzung vorschlagen. PHP hatte schon andere Designfehler (magic_quotes, PHP_SELF, usw), die später zu weit verbreiteten Sicherheitslücken geführt haben.

Mein Resümeé daraus ist also: für die Modulversion _unbedingt_ das upload_tmp_dir auf ein eigenes HTTP-geschütztes Verzeichnis setzen, usw...

Für Sessions gilt ja Ähnliches.

Liebe Grüße aus dem auch heute sonnigen Oberharz

Tom vom Berg