Uploadscript - sikkerhed

<ole>

Nej, det plugin kendte jeg heldigvis ikke!  =8-O

Løsningen må være, aldig nogensinde at bruge scripts fra den kilde! Vedkommende har tydeligvis ikke styr på den mest elementære sikkerhed ... rystende ...!!!

/mvh
</bole>

Scriptet bliver brugt rigtig mange steder så de skulle gerne have styr på det. Og jeg har været igang med at tilføje ekstra sikkerheds tjek.

Men test viser så også at fejlen ikke ligger i scriptet men i serveren.

Undrede mig også meget over at hvordan man over hovedet skulle kunne eksekvere en billed fil, men ja jeg er ikke hacker og de kan jo magi en gang i mellem ;).

Undskyld, men jeg er rystende ligeglad med, hvormange steder, det bruges. Der, hvor det bruges, har man tydeligvis ikke styr på noget! Når tåben kan finde på at lave en så åbenbar begynderfejl, må man formode, at resten er ligeså amatøragtig.

Grundet økonomi- og arbejdspres i webhuse breder den slags libraries sig som en steppebrand i disse år - også indenfor andre sprog. Desværre er de ofte skrevet af ukyndige amatører, men det er trods alt (og heldigvis) sjældent, der står en så massiv hjerneblødning bag!

Hvad er det mere præcist for en test, du har lavet? Fejlen ligger ikke på serveren, men i scriptet. Det fylder helt ukritisk hele indholdet af den uploadede fil ned i en eksekverbar fil: data.php. Det svarer til at bede brugeren om at uploade en PHP-fil til serveren. Det er komplet og aldeles hul i hovedet!

Drop sikkerhedslapperier af dette script. Hvad vil du gøre med resten af de formodede huller?

Intet galt med scriptet, tdc der havde et hul på deres som de så lagde over på vores skuldre.

"Intet galt med scriptet" >> Måske ikke, hvis det skal være tilladt at lægge dit site ned. Jeg sidder med en version af scriptet på min lokale server - og kan ved hjælp af scriptet skrive, slette og ændre filer på serveren via HTTP!

Jamen så er der jo noget galt, jeg vil se om ikke jeg kan finde et alternativ.

Tak for advarslen!