WARNUNG: Uploadify ist Sicherheitsdesaster von fastix®, 02.09.2011 16:59

SELF-Forum

WARNUNG: Uploadify ist Sicherheitsdesaster

fastix® Homepage des Autors 02.09.2011 16:59

zur info

– Informationen zu den Bewertungsregeln

Moin!

Hi,

ich nutze für den Bildupload Uploadify. Das kann ich dir nur auch empfehlen.

Ich nicht. Es ist gefährlich.

Hier ist der Quellcode aus der aktuellen stabilen Version 2.1.4 (uploadify.php):

if (!empty($_FILES)) {  
	$tempFile = $_FILES['Filedata']['tmp_name'];  
	$targetPath = $_SERVER['DOCUMENT_ROOT'] . $_REQUEST['folder'] . '/';  
	$targetFile =  str_replace('//','/',$targetPath) . $_FILES['Filedata']['name'];  
	  
	// $fileTypes  = str_replace('*.','',$_REQUEST['fileext']);  
	// $fileTypes  = str_replace(';','|',$fileTypes);  
	// $typesArray = split('\|',$fileTypes);  
	// $fileParts  = pathinfo($_FILES['Filedata']['name']);  
	  
	// if (in_array($fileParts['extension'],$typesArray)) {  
		// Uncomment the following line if you want to make the directory if it doesn't exist  
		// mkdir(str_replace('//','/',$targetPath), 0755, true);  
		  
		move_uploaded_file($tempFile,$targetFile);  
		echo str_replace($_SERVER['DOCUMENT_ROOT'],'',$targetFile);  
	// } else {  
	// 	echo 'Invalid file type.';  
	// }  
}

Damit landen Dateien - wie z.B. eine schicke shell.php - dort, wo Du sie gewiss nicht haben willst.

Der Rest ist dann ziemlich egal. Tolle Funktionen, die zu einem grandiosen Sicherheitsdesaster führen.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix

--
Des fastix kleines CMS

Beitrag melden

– Informationen zu den Bewertungsregeln

SELFHTML Forum - Ergänzung zur Dokumentation Übersicht

fastix®: WARNUNG: Uploadify ist Sicherheitsdesaster

Beitrag lesen

WARNUNG: Uploadify ist Sicherheitsdesaster

10 Bilder auf einmal hochladen und bearbeiten, Speicher Problem?

WARNUNG: Uploadify ist Sicherheitsdesaster