Pregunta de Seguridad en Upload PHP

cambalacheweb · #1 (**permalink**) 09/07/2010, 11:37

Saludos Amigos, una pregunta.

Saben que hay dos maneras que conozco de subir archivos a mi servidor via PHP.... La primera via es por la famosa move_uploaded_file(), y la segunda via es haciendo por una conexion FTP con el ftp_connect(), ftp_put(), etc.

La pregunta es: Cuál es el nivel de seguridad de ambas ??? Qué es más seguro usar para transferir o para que los usuarios de una página suban archivos a un web site?? Cual tiene menos riesgo de ser Hackeada ???

Gracias por sus respuestas.

Atte,

Angel R.
Caracas - Venezuela.

GatorV · #2 (**permalink**) 09/07/2010, 11:44

La primera es para subir archivos desde el cliente a tu servidor, el segundo es para transferir archivos via FTP de tu servidor al servidor FTP.

Por ende son diferentes, si lo que quieres es subir archivos desde tu pagina web, tienes que usar un HTTP Upload, no puedes usar un ftp para eso (a menos que tuvieras un servidor FTP en tu maquina).

Saludos.

emstro · #3 (**permalink**) 09/07/2010, 11:46

Concuerdo con GatorV

cambalacheweb · #4 (**permalink**) 09/07/2010, 11:52

Ok, pero digamos que tenemos una página con un formulario donde el Cliente va mandar una imagen con sus datos. Podría haber dos maneras de llevar ese archivo que envía mi cliente al servidor de la página, via move_uploaded_file() o vía ftp_connect(). De las dos maneras el usuario puede colocar la imagen en el servidor. Ambos métodos pueden generar el mismo resultado.... pregunto: Qué es recomendable usar?

Gracias.

GatorV · #5 (**permalink**) 09/07/2010, 13:52

Es imposible que lo hagas via ftp_connect() como ya te indique la única forma de enviar desde una pagina web al servidor es usando un HTTP Upload y recibirlo en PHP.

move_uploaded_file solo mueve el archivo del directorio temp del server a su ubicación final, es lo mismo que usar copy() solo que aseguras que sea un archivo enviado vía el browser.

Saludos.

cambalacheweb · #6 (**permalink**) 09/07/2010, 14:04

Ok entiendo, pero fíjate en este código....

Código PHP:

   
if (is_uploaded_file($_FILES['miarchivo']['tmp_name']))  
{     
$archivo=$_FILES['miarchivo']["name"]; 
$directorio='archivos_recibidos/'; 
$temporal=$_FILES['miarchivo']["tmp_name"]; 
$carga_archivo=move_uploaded_file($temporal,$directorio.$archivo); 
 
 
    if($carga_archivo) 
    { 
     
         
        $cid = ftp_connect("ftp.tecnoprint2090.com.ve"); 
        $resultado = ftp_login($cid, "abc","123"); 
     
        ftp_chdir($cid, "upload"); 
        if (ftp_put($cid, $archivo, $directorio.$archivo, FTP_ASCII)) { 
         echo "Carga Exitosa de Archivo.\n"; 
        } else { 
         echo "Hubo un problema durante la transferencia de Archivos\n"; 
        } 
     
        ftp_close($cid); 
         
    } 
 
 
}

De esta manera puedo subir un archivo que esté enviando un usuario tanto a mi servidor como a otro servidor, se envía a ambos lugares sin ningún problema, y podría usar la propia conexión FTP para que mi usuario me envíe archivos a mi servidor desde su PC.

Saludos.

GatorV · #7 (**permalink**) 09/07/2010, 14:29

Es lo que te decia, si vas a enviar desde un browser, tienes que hacer un http upload desde el formulario y recibirlo usando el array $_FILES.

Luego usas ftp_connect para transferirlo desde tu server al server FTP, por eso como te comento son dos diferentes acciones, no puedes usar ftp solo para enviar archivos desde un browser, ya que el browser solo soporta hacer http uploads.

Saludos.

cambalacheweb · #8 (**permalink**) 09/07/2010, 14:30

Ok Gracias Amigo !!