النتائج 1 إلى 3 من 3

الموضوع: أرجو المساعدة العاجلة لدي سكربت رفع ملفات غير محمي من رفع ملفات الشل ارجو الدخول

  1. #1

    أرجو المساعدة العاجلة لدي سكربت رفع ملفات غير محمي من رفع ملفات الشل ارجو الدخول



    السلام عليكم
    لدي سكربت رفع ملفات لا استطيع كتابة الرابط لكي لا يتم استغلاله
    وبه ثغرة تسمح برفع ملفات .php.zip و .php.rar واي امتداد مشابه
    وأريد ابطال هذا الامر
    هذا هو نص تحديد الامتداد للملف
    كود:
    if (document.getElementById('menu1').value=="zipfile"){
    if (getext(document.getElementById('usr').value)!=".zip" && getext(document.getElementById('usr').value)!=".rar") {
    
    alert("Please select a .ZIP or .RAR file to upload!"); return false;}}
    ووظيفة هذا الكود هي أنه في حالة عدم اختيار ملف بامتداد zip أو rar فانه تظهر لك رسالة تخبرك بأنه عليك اختيار احد هذين الامتدادين
    ولكن المشكلة انه اذا كتبت امتداد ثم .zip
    مثل .php.zip فانه يقبله
    ولذلك حاولت اضافة نص يمنع تحديدا هذا الامتداد ولكن لم انجح في محاولتي
    وهذا هو النص:
    كود:
    if (document.getElementById('menu1').value=="zipfile"){
    if (getext(document.getElementById(usr).value)==".php.zip") {alert("Please select an item to upload!"); return false;} else {
    
    if (getext(document.getElementById('usr').value)!=".zip" && getext(document.getElementById('usr').value)!=".rar") {
    
    alert("Please select a .ZIP or .RAR file to upload!"); return false;}}}
    أرجو المساعدة عاجلاً







  2. #2
    عضو نشيط
    تاريخ التسجيل
    Jun 2003
    المشاركات
    193


    عزيزي لا يوجد حل (والله أعلم) بخصوص إعادة تسمية أو تغير إمتداد الملف لكن شوف الكود هيدا و إن شاء الله بكون نافع إلك

    كود:
    <html>
    
    <head>
      <title></title>
    </head>
    <body dir="rtl">
    <?php
    if (isset($_POST["snake_eyes"]))
    {
    	if ($HTTP_POST_FILES["user_file"]["type"]=="application/x-zip-compressed")
    	{
    		$msg = "مسموح";
    	}
    	else
    	{
    		$msg = "نوعية الملفات ".str_replace(".","",strchr($HTTP_POST_FILES["user_file"]["name"],"."))." غير مصرح بها من قبل الإدارة.";
    	}
    }
    ?>
    
    <table width='100%' border='0' cellspacing='0' cellpadding='3' dir='$lang[dir]'>
    <form action='<?$_SERVER[REQUEST_URI];?>' method='POST' enctype='multipart/form-data'>
    <tr><td colspan='2' class='cell1'><font color='#ff0000'><? echo $msg;?></font></td></tr>
    <tr><td class='cell2'><input type='file' name='user_file' size='45' class='input'><br>
        <font color='#ff0000'>الملفات المسموح إرسالها هي zip, rar</font></td></tr>
    <tr><td></td>
     		<td><input type='submit' name='snake_eyes' class='button' value='إضافة'><br>
    	  	<input type='text' name='msg' size='100' style='border: none; background: none; font-size: 8pt;' readonly></td></tr></form></table>
    </body>
    
    </html>
    تحياتي لك





    __________________
    العزة لله.. والشفاعة لك يا رسول الله
    اللهم ارحم شهداؤنا و كل من قاتل في سبيل الله... آمين
    اللهم انصر المجاهدين المسلمين في كل مكان... آمين

  3. #3
    عضو نشيط
    تاريخ التسجيل
    Sep 2006
    المشاركات
    279


    اولا

    انتا تتاكد بالجافا سكربت ويمكن للمخترق ان يبطل عمل الجافا سكربت من المتصفح ويرفع الى هو عاوزه ( مثلا FireFox )

    الافضل انك تتاكد بال PHP

    ولو كده ابحث فى القسم ده هتلاقي موضوع بيتكلم عن الامان فى مراكز التحميل

    بانك تعمل ملف htaccess يوقف عمل الشيلات او ملفات ال php فى فولدر الملفات المرفوعة


    أرجو ان اكون افدتك ومكونش كسرت مقاديفك زي ما بيقولوا







    __________________


    Mohamed Mahmoud

    Mobile : +20103452846

    Blog : Hawy PHP

    Mail : Hawy [.] PHP [@] Gmail.com

    حسبي الله ونعم الوكيل






ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض