السلام عليكم
لدي سكربت رفع ملفات لا استطيع كتابة الرابط لكي لا يتم استغلاله
وبه ثغرة تسمح برفع ملفات .php.zip و .php.rar واي امتداد مشابه
وأريد ابطال هذا الامر
هذا هو نص تحديد الامتداد للملف
كود:
if (document.getElementById('menu1').value=="zipfile"){
if (getext(document.getElementById('usr').value)!=".zip" && getext(document.getElementById('usr').value)!=".rar") {
alert("Please select a .ZIP or .RAR file to upload!"); return false;}}
ووظيفة هذا الكود هي أنه في حالة عدم اختيار ملف بامتداد zip أو rar فانه تظهر لك رسالة تخبرك بأنه عليك اختيار احد هذين الامتدادين
ولكن المشكلة انه اذا كتبت امتداد ثم .zip
مثل .php.zip فانه يقبله
ولذلك حاولت اضافة نص يمنع تحديدا هذا الامتداد ولكن لم انجح في محاولتي
وهذا هو النص:
كود:
if (document.getElementById('menu1').value=="zipfile"){
if (getext(document.getElementById(usr).value)==".php.zip") {alert("Please select an item to upload!"); return false;} else {
if (getext(document.getElementById('usr').value)!=".zip" && getext(document.getElementById('usr').value)!=".rar") {
alert("Please select a .ZIP or .RAR file to upload!"); return false;}}}
أرجو المساعدة عاجلاً