 |
تفاجأت لما تصفحت الصور المفوعه عن طريق سكربت رفع الصور وبوجود ملفات PHP تم رفعها عن طريق السكربت
و لحسن الحشظ لم يتم اي تخريب بالموقع والحمدلله
وحذفت الملفات وجدت ملفات أخرى تم رفعها في اماكن مختلفة
هذا السكربت اللي تم رفع ملفات PHP عن طريقه (مرفق)
ممكن احد يفيدني والله يجزاك الف خير
سيتم معاينته
انتظرني
بالنسبة لما رأيته فإن نسبة الأمان منخفضة جدا في هذا السكربت يحتاج للعديد من التعديلات
وتوجد به العديد من الأخطاء
أنصحك بتجربة غيره
يوجد الكثير من مراكز تحميل الصور
=========
على سبيل المثال:
ابحث عن AI Uploader 3.2 وسيعجبك إن شاء الله وهو متخصص في رفع الصور...
وقريبا جدا الإصدار الجديد
مشاء الله عليك اخوي
الف شكر على ردك السريع
انا حملت برنامج وراح اعتمده
والله يجزاك الف خير
هذا البرنامج من تصميم وبرمجة: PHP-Master02 أحد أعضاء منتديات سوالف سوفت التي أفخر بها
مشاء الله عليك اخوي البرمانج ممتازة
وننتظر الاصدار الجديد
اخوي العزيز PHP-Master02المشاركة الأصلية كتبت بواسطة PHP-Master02
بالنسبة لما رأيته فإن نسبة الأمان منخفضة جدا في هذا السكربت يحتاج للعديد من التعديلات
وتوجد به العديد من الأخطاء
أنصحك بتجربة غيره
ممكن تذكر لنا من ضمن الأخطاء او اسباب انخفاض الأمن ؟؟؟ خلني استفيد من هالأخطاء
اكون لك شاكر استاذي العزيز
اخووووك
اوووووووووووف
أخي Off
تامر أمر
سأقوم بعرض ملف التحميل السابق وعرض الأخطاء والاقتراحات للحل
انتظرني
-----
ملاحطة: لا داعي لكلمة أستاذي
:1power: نبدأ التحليل والاقتراحات:
===============
:court: السطر 16 يقوم بإدراج حقل مخفي... لا أرى ضرورة لوجوده
حيث أرى أنه استخدمه لمعرفة إذا تم التحميل بواسطة النموذج.. في السطر 23كود PHP:<input type="hidden" name="action" value="edit1">
يمكن حذف السطر 16 واستبدال السطر 23 بـكود PHP:if ($action=="edit1")
كود PHP:if ($_POST[['file1'])
===============
:court: في السطر 22 يوجد اسم المجلد
هذا خطأ... ضع كلمة pic بين علامتي اقتباس ليصيركود PHP:$dir=pic;
كود PHP:$dir= "pic";
===============
:court: يوجد خطأ أيضاً في السطر 28... حيث يوجد الآتي
وهو يقصد أن يتحقق إذا كان حقل الملف خاليا ... ولكن لن يعمل هذا أبداكود PHP:if($file1 != "none" )
لأن none أصبحت قيمة معينة
وأرى أنه ظن أن ذلك يتحقق من التصاريح لتحميل الملف ولكن لن ينجح ذلك
استبدله بالآتي:
كود PHP:if(trim($file1) != "" && !empty($file1))
===============
:court: والآن الخطأ في السطر 30 .. حيث يوجد الآتي
وذلك للتحقق من حجم الملف المصرح بتحميلهكود PHP:if ($file1_size > 200000)
وهذا لن ينجح أيضاً
حيث 1000 هو الحجم الأقصى المطلوب مع ملاحظة أن ذلك بالبايتكود PHP:if ($_FILES['file1']['size'] > 1000)
===============
:court: في السطر 35 يوجد الآتي
وذلك لن يحقق شيئاً،، حيث أراد التحقق من صيغة الملفكود PHP:if ($file1_type !="image/pjpeg" && $file1_type !="image/gif" && $file1_type !="image/jpeg" )
بدون إطالة كلام استبدله بالآتي
كود PHP:$types = array("image/pjpeg","image/gif","image/jpeg");
if(!in_array($_FILES['file1']['type'],$types))
===============
هذه أهم الاقتراحات....لم أقم بعرض جميع الاقتراحات لدي...
لكن هذا سيضمن عمل السكربت بشكل مقبول
حاولوا التعديل بأنفسكم على السكربت لمعرفة المزيد
:app:
تحياتي
PHP-Master02..
ما قصرت
الله يعطيك العافية.
__________________
لا إله إلا الله
مشاء الله والله معلومات قيييمة جداً
وجزاك الله الف خير
(خير الناس انفعهم للناس)
وانا من الناس اللي يحاول جاهداً تعلم PHP لاكن بدون كتب فقط بالامثلة والبرامج
ساقوم بتجربة التعديلات واخبركم...
ضوابط المشاركة
رد مع اقتباس
