Uploader + chmod + seguridad

ruperto · #1 (**permalink**) 30/09/2008, 21:09

buena.. quisiera saber si es seguro en un mismo script

1-Cambiar el permiso del directorio a 777 (escritura-lectura-ejecución)
2-Guardar el archivo
3-Volver a cambiar el permiso del directorio (sin escritura)

No hay chances de que suban algo al directorio y ejecuten desde ahi y modifiquen la pag? gracias!!

GatorV · #2 (**permalink**) 30/09/2008, 21:26

Depende de que archivo suban, si no filtras el archivo ni lo checas si es algo que estas esperando, todavía tienes un problema de seguridad.

Saludos.

ruperto · #3 (**permalink**) 01/10/2008, 05:30

No es un archivo que envía un usuario, sino un archivo conocido por el administrador. Es el mismo caso para un archivo (ejemplo:imagen) que para un directorio? Estuve viendo que se puede utilizar ftp desde PHP http://www.shadowsland.com/index.php...d=23&Itemid=30

no es mas seguro esto último? gracias

GatorV · #4 (**permalink**) 01/10/2008, 09:01

Es un poco más seguro si defines bien los accesos por usuario en el FTP.

Saludos.

ruperto · #5 (**permalink**) 01/10/2008, 09:48

un poco más? cual sería la debilidad? gracias!

GatorV · #6 (**permalink**) 01/10/2008, 09:53

Que si alguien consigue las mismas credenciales que usa tu script para entrar al FTP puede igual subir cualquier archivo.

Saludos.

ruperto · #7 (**permalink**) 01/10/2008, 09:58

osea, te refieres a que si obtiene el user y el pasword de la cuenta ftp?

GatorV · #8 (**permalink**) 01/10/2008, 10:14

Así es, aunque lo mejor es que tu sistema sea seguro desde un inicio, checa el usuario bajo el que corre PHP y solo a ese usuario dale permisos de acceso a la carpeta que quieres copiar archivos, no permitas el envio de archivos nuevos y siempre filtra la información entrante.

Saludos.

ruperto · #9 (**permalink**) 01/10/2008, 11:13

ok. entonces resumiendo:

-El administrador (solo el administrador) quiere subir una imagen
-Utiliza el script php que se conecta mediante ftp, sube el archivo y se desconecta

Esa secuencia sería la correcta? hay algun problema que el user y el pass del FTP se encuentren en un archivo .php ? gracias!

GatorV · #10 (**permalink**) 01/10/2008, 13:06

Depende de la seguridad de tu script, si solo el administrador va a subir el formulario entonces no es necesario que hagas todo el proceso de FTP, ya que como dices el administrador va a entrar pre-autentificado.

Recuerda que aunque te conectes via FTP por PHP, aun asi debes de subir el archivo a un directorio temporal.

Saludos.

ruperto · #11 (**permalink**) 01/10/2008, 13:15

a un directorio temporal? por que?

GatorV · #12 (**permalink**) 01/10/2008, 13:27

Es el proceso, si te fijas las funciones de FTP de PHP son para conexion servidor <-> servidor, no cliente <-> servidor (ya que PHP no se ejecuta en el cliente), entonces para tu poder enviar un archivo al servidor FTP debes de enviarlo desde tu servidor (donde se ejecuta PHP), es por ello que el archivo debe de existir en un directorio de tu servidor y no desde el cliente.

Saludos.

ruperto · #13 (**permalink**) 01/10/2008, 13:36

ok. muchas gracias