Foros del Web » Programando para Internet » PHP »

Subir archivos

Estas en el tema de Subir archivos en el foro de PHP en Foros del Web. Buenas, Estoy haciendo una seccion de una web para subir archivos... y le tengo permisos a la carpeta donde subo 770. Quería saber si esto ...
  #1 (permalink)  
Antiguo 01/04/2005, 15:32
 
Fecha de Ingreso: marzo-2005
Mensajes: 57
Antigüedad: 12 años, 9 meses
Puntos: 0
Subir archivos

Buenas,

Estoy haciendo una seccion de una web para subir archivos... y le tengo permisos a la carpeta donde subo 770. Quería saber si esto podría suponer algun problema de seguridad para la web.

Saludos y gracias
  #2 (permalink)  
Antiguo 01/04/2005, 15:38
Avatar de nicolaspar  
Fecha de Ingreso: noviembre-2004
Ubicación: Villa Ballester Bs-As|Ar
Mensajes: 2.002
Antigüedad: 13 años
Puntos: 34
En principio no, mas si este dir lo usas unicamente para este fin. Igual, esta respuesta es básica por asi decirlo, ya que tu pregunta es como preguntar si leer por get es peligroso, y sabemos que esto depende de como lo envies y como lo leas. Aca es lo mismo, fijate de usar alguna transacion en que verifique que el usuario esta escribiendo en ese dir desde tu aplicacion, y que la aplicacion este protegida.
Es algo que da para hablar mucho, pero no te preocupes por eso, hay cosas que atacan primero en un site, como ser inyeccion sql por qs. Si esto lo tenes totalmente contemplado, recien ahi preocupate por dicho dir.

Si tu postura no es la que creo, esponela, tal vez te pueda dar alguna orientación mas detallada;)
__________________
Mi punto de partida es Que Bueno Lo Nuevo

Última edición por nicolaspar; 01/04/2005 a las 15:40
  #3 (permalink)  
Antiguo 01/04/2005, 15:57
 
Fecha de Ingreso: marzo-2005
Mensajes: 57
Antigüedad: 12 años, 9 meses
Puntos: 0
El directorio lo uso solo para eso... son imagenes.

Cita:
Aca es lo mismo, fijate de usar alguna transacion en que verifique que el usuario esta escribiendo en ese dir desde tu aplicacion, y que la aplicacion este protegida.
Como podría verificar eso? podrías ponerme un ejemplo básico?

Saludos
  #4 (permalink)  
Antiguo 01/04/2005, 16:04
Avatar de nicolaspar  
Fecha de Ingreso: noviembre-2004
Ubicación: Villa Ballester Bs-As|Ar
Mensajes: 2.002
Antigüedad: 13 años
Puntos: 34
Basico sería generar un hash y un rand y guardarlo en una var de session al inicio del formulario:
$hash = "loquequi3r4as";
$_SESSION["transation"] = rand(0,10000);.
Una vez esto, pones en un hidden este valor asi:
<input type="hidden" name="transation" value="<?php echo md5($hash.$_SESSION["transation"]);?>">

Ya esta, ahora tenes el valor del hash (que recomiendo tenerlo en un include general), y el de la session. Asi que en el guardar lo que haras será comprobar que la convinacion de ambas cosas sean la misma que el del hidden...inversa basica;)

Al final del guardar, volve a generar la session transacion, esto hara tambien, que al hacer F5 no se guarde nada.

Cualquier cosa pregunte Sr.
__________________
Mi punto de partida es Que Bueno Lo Nuevo
  #5 (permalink)  
Antiguo 01/04/2005, 16:12
 
Fecha de Ingreso: marzo-2005
Mensajes: 57
Antigüedad: 12 años, 9 meses
Puntos: 0
Pues la verdad no conocía ningun tipo de seguridad en este aspecto, subir archivos, si sabes algun sitio bueno sobre esto te agradecería me pasaras el link

De todas formas los que enviarán archivos serán de confianza, ya que son los colaboradores... asi que antes me centraré en otras cosas.

Saludos y gracias
  #6 (permalink)  
Antiguo 01/04/2005, 18:50
Avatar de nicolaspar  
Fecha de Ingreso: noviembre-2004
Ubicación: Villa Ballester Bs-As|Ar
Mensajes: 2.002
Antigüedad: 13 años
Puntos: 34
Ok, sitio no se de ninguno, pero fijate en google, esto es un tema mas de seguridad que se subir archivos.
__________________
Mi punto de partida es Que Bueno Lo Nuevo
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 23:48.