النتائج 1 إلى 3 من 3

الموضوع: أرجو المساعدة العاجلة لدي سكربت رفع ملفات غير محمي من رفع ملفات الشل ارجو الدخول

  1. 25-10-2006 #1
    عضو نشيط
    00-محمد-00
    تاريخ التسجيل
    May 2006
    المشاركات
    234

    أرجو المساعدة العاجلة لدي سكربت رفع ملفات غير محمي من رفع ملفات الشل ارجو الدخول



    السلام عليكم
    لدي سكربت رفع ملفات لا استطيع كتابة الرابط لكي لا يتم استغلاله
    وبه ثغرة تسمح برفع ملفات .php.zip و .php.rar واي امتداد مشابه
    وأريد ابطال هذا الامر
    هذا هو نص تحديد الامتداد للملف
    كود:
    if (document.getElementById('menu1').value=="zipfile"){
if (getext(document.getElementById('usr').value)!=".zip" && getext(document.getElementById('usr').value)!=".rar") {

alert("Please select a .ZIP or .RAR file to upload!"); return false;}}
    ووظيفة هذا الكود هي أنه في حالة عدم اختيار ملف بامتداد zip أو rar فانه تظهر لك رسالة تخبرك بأنه عليك اختيار احد هذين الامتدادين
    ولكن المشكلة انه اذا كتبت امتداد ثم .zip
    مثل .php.zip فانه يقبله
    ولذلك حاولت اضافة نص يمنع تحديدا هذا الامتداد ولكن لم انجح في محاولتي
    وهذا هو النص:
    كود:
    if (document.getElementById('menu1').value=="zipfile"){
if (getext(document.getElementById(usr).value)==".php.zip") {alert("Please select an item to upload!"); return false;} else {

if (getext(document.getElementById('usr').value)!=".zip" && getext(document.getElementById('usr').value)!=".rar") {

alert("Please select a .ZIP or .RAR file to upload!"); return false;}}}
    أرجو المساعدة عاجلاً





    __________________
    موقع الذكر الحكيم
    رد مع اقتباس رد مع اقتباس 00-محمد-00 غير متواجد حالياً

  2. 25-10-2006 #2
    عضو نشيط
    snake_eyes
    تاريخ التسجيل
    Jun 2003
    المشاركات
    193


    عزيزي لا يوجد حل (والله أعلم) بخصوص إعادة تسمية أو تغير إمتداد الملف لكن شوف الكود هيدا و إن شاء الله بكون نافع إلك

    كود:
    <html>

<head>
  <title></title>
</head>
<body dir="rtl">
<?php
if (isset($_POST["snake_eyes"]))
{
	if ($HTTP_POST_FILES["user_file"]["type"]=="application/x-zip-compressed")
	{
		$msg = "مسموح";
	}
	else
	{
		$msg = "نوعية الملفات ".str_replace(".","",strchr($HTTP_POST_FILES["user_file"]["name"],"."))." غير مصرح بها من قبل الإدارة.";
	}
}
?>

<table width='100%' border='0' cellspacing='0' cellpadding='3' dir='$lang[dir]'>
<form action='<?$_SERVER[REQUEST_URI];?>' method='POST' enctype='multipart/form-data'>
<tr><td colspan='2' class='cell1'><font color='#ff0000'><? echo $msg;?></font></td></tr>
<tr><td class='cell2'><input type='file' name='user_file' size='45' class='input'><br>
    <font color='#ff0000'>الملفات المسموح إرسالها هي zip, rar</font></td></tr>
<tr><td></td>
 		<td><input type='submit' name='snake_eyes' class='button' value='إضافة'><br>
	  	<input type='text' name='msg' size='100' style='border: none; background: none; font-size: 8pt;' readonly></td></tr></form></table>
</body>

</html>
    تحياتي لك





    __________________
    العزة لله.. والشفاعة لك يا رسول الله
    اللهم ارحم شهداؤنا و كل من قاتل في سبيل الله... آمين
    اللهم انصر المجاهدين المسلمين في كل مكان... آمين
    رد مع اقتباس رد مع اقتباس snake_eyes غير متواجد حالياً
  3. 25-10-2006 #3
    عضو نشيط
    Hawy PHP
    تاريخ التسجيل
    Sep 2006
    المشاركات
    279


    اولا

    انتا تتاكد بالجافا سكربت ويمكن للمخترق ان يبطل عمل الجافا سكربت من المتصفح ويرفع الى هو عاوزه ( مثلا FireFox )

    الافضل انك تتاكد بال PHP

    ولو كده ابحث فى القسم ده هتلاقي موضوع بيتكلم عن الامان فى مراكز التحميل

    بانك تعمل ملف htaccess يوقف عمل الشيلات او ملفات ال php فى فولدر الملفات المرفوعة


    أرجو ان اكون افدتك ومكونش كسرت مقاديفك زي ما بيقولوا







    __________________


    Mohamed Mahmoud

    Mobile : +20103452846

    Blog : Hawy PHP

    Mail : Hawy [.] PHP [@] Gmail.com

    حسبي الله ونعم الوكيل

    رد مع اقتباس رد مع اقتباس Hawy PHP غير متواجد حالياً




« اخوانى مساعده فى بدايه اسكربت (انا تحت التمرين ) | عرض الإستعلام بقائمة منسدلة »

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

قوانين المنتدى


أضف موقعك هنا | اضافة محتوى فريد لموقعك