السلام عليكم
شباب كيف نجعل مركز التحميل آمن ولا يقبل تحميل ملفات php
نسمع ان هناك ثغرات في مراكز التحميل لكن كيف يمكن تحميل ملفات php
او بالاصح كيف نمنع ذلك
| |
السلام عليكم
شباب كيف نجعل مركز التحميل آمن ولا يقبل تحميل ملفات php
نسمع ان هناك ثغرات في مراكز التحميل لكن كيف يمكن تحميل ملفات php
او بالاصح كيف نمنع ذلك
ألسلام عليكم ورحمة الله وبركاته
كود PHP:if ($_FILE['file']['type']=="text/html")
{
echo "لا يسمح لك برفع ملفات الصفحات في الموقع ";
}
else
{
//uploading code here
}
أخي يوجد كود لمعرفة صيغة الملف الي بترفعه ...
وبإمكانك تحديد الصيغة المطلوبة ...
قم وضع الصيغ التي تريدها ...كود PHP:$type=array(".gif",".jpg",".png",".jpeg",".zip",".rar");
وبإمكانك التأكد من أن الملف المحمل يجب أن يكون من إحدى الصيغ التالية أو يظهر شاشة الخطأ .
وبكذا يكون حددت الصيغ المطلوبة ... وأظهرت شاشة تحذير إذا كان الملف غير مدعوم الصيغة ..كود PHP:$ext = strrchr($_FILES['filetoupload'][name],'.');
if ((!in_array($ext,$type)) {
echo(" قمت بعملية غير شرعية : (( إمتداد الملف غير مدعوم )) ... ");
}
لك خالص حبي
Malphp
لا تسمح ابدا بتحميل ملفات من نوع رار او psd
لانها تشتغل مباشره لذلك هي مرصد لسكربتات php
__________________
أهلا و سهلا بكم في :-
موقع دار الأوائل
تفضل معنا خدمات الاستضافة
موقع العبقري لخدمات الاستضافة
السلام عليكم
طريقة أخونا eyeislam هي الأئمن
لأنها تتحقق من نوع الملف الأصلي ومن محتواه
اما اخوي Malphp فهي تتحقق من امتداد الملف فقط
يعني اقدر اعمل ملف php واغير امتداده لاي صورة وبيقبله مباشرة
وهذا خطر جدا
ذكر اخونا العندليب طريقة
اعمل ملف باسم
.htaccess
ضع بداخله
RemoveType .php .php2 .php1 .impx .dll .ajx .aajx .copy .wget .pop .mail .email .php3 .phtml .pl .cgi.html.htm.asp.aspx
فيها قوة بحيث تمنع تشغيل ملفات php أو اي ملف نصي على السيرفر
ايضا استخدام الدالة
move_uploaded_file
بدل الدالة
copy
والتي لاتعمل مع الوضع الآمن للسيرفر بعكس الأولى التي تفيدك من التحقق من نوع الملف الأصلي بدقة
هذا مالدي شاركتكم به
بالتوفيق للجميع
__________________
كل مالا يعطى يضيع
بارك الله فيك أخي ( الإمبراطور وحيد )
ولكن إذا تغييرت صيغة الملف المحمل فما أعتقد له أي فائدة ....
وبإمكانك التأكد وحول الملف php إلى gif وأخبرني بالنتيجة ...!!
وإذا كان له مضار يا ليت لو تعلمني ؟ وأكون لك شاكر ..
ولك خالص حبي
Malphp
السلام عليكم
هلا اخوي
انا مو هكر
لكن لقيت على موقعي شل كامل بامتداد gif
وواحد ارسل لي رسالة قالي شوف الشل بموقعك واقدر اتحكم فيه
وفعلا قدر يدخل على الملفات وغير لي شغلات بسيطة بس أثبت لي انه يقدر فعلا يستخدم الـ php حتى لو امتداده gif
تحياتي لك
وحيد
__________________
كل مالا يعطى يضيع
شوف اخوي مثال
http://www.x08x.com/uploads/ddd7894323.gif
تحياتي
__________________
كل مالا يعطى يضيع
ياساتر ياوحيد
بس كيف الطريقة :eek2:
قلت لك يالغالي
ايضا استخدام الدالة
move_uploaded_file
بدل الدالة
copy
والتي لاتعمل مع الوضع الآمن للسيرفر بعكس الأولى التي تفيدك من التحقق من نوع الملف الأصلي بدقة
بالتوفيق وترقب النسخة السابعة من مركز التحميل الإمبراطوري قريبا بحول الله
تحياتي لك
__________________
كل مالا يعطى يضيع
شكرأً لكم على هذا النقاش المفيد.
__________________
لا إله إلا الله
بارك الله فيك أخي ( الإمبراطور وحيد ) ...
والله الطريقة عجيبة جداً .. ...
كان عندي شك في عمل مثل هذه الأمور ولكن بعد ما شفته تحول لخووووف >>> (-_-)
لازم الواحد يحط حساب لعمل سكريبت ذي كذا ..
أتمنى لك التوفيق
Malphp
فتح بواسطة....
المفكرة
http://www.x08x.com/uploads/9bdf28780b.gif
بإمكانكم وضع ملف .htaccess داخل مجلد الرفع
والذي حتى وان نجح الهكر في رفع شل مهما كان امتداده حتى ولو صورة فأنه لن يعمل
ويكون محتوى ملف ال .htaccess كالتالي :
php_flag engine off
<Files ~ "\.(php*|s?p?html|cgi|pl)$">
deny from all
</Files>
تحياتي .
__________________
برمجة - تطوير - إدارة
أخي العزيز :
ضع هذا الأمر في ملف TXT واحفظه بإسم
htaccess.
ثم ارفعه الى المجلد الخاص بتحميل الصور ، والذي ترفع عليه الصور .
انا مجربه على موقعي ولا أحلى من كذا شيء .كود PHP:RemoveType .php .php3 .phtml .pl .html .htm .cgi .php4 .exe .msi .rpm .vir .scr .pif .com
تحيتي لك .
ضوابط المشاركة
رد مع اقتباس