Seguridad en upload de archivo

geq · #1 (**permalink**) 25/02/2008, 10:58

Hola,
Tengo una inquietud sobre seguridad:

Quiero que desde una pagina se pueda subir cualquier archivo al servidor, siempre que sea seguro.
Alguien que sepa donde se guardan los archivos podría subir un php y mediante el navegador hacer lo que mas le guste de mi servidor; asi que .php no se deben admitir. Ahora, ¿es eso suficiente? ¿Hay más extensiones peligrosas? o me recomiendan mejor restringir las extensiones admitidas a, por ejemplo, .doc .zip .rar .txt, algo así, en lugar de no admitir las consideradas peligrosas.

Me imagino que debo guiarme por la extensión y no por el tipo de archivo porque no siempre es correcto, ya que si alguien estuviera realmente preocupado por hackear mi site podria indicarle al servidor que es otro tipo de archivo.

Muchas gracias,
saludos

GatorV · #2 (**permalink**) 25/02/2008, 11:59

Para ver el tipo de archivo ve la extensión y el mime que te envía el navegador:

Código PHP:

  $_FILES['tuarchivo']['type'];
// y
$_FILES['tuarchivo']['name'];

Ahora como segunda recomendación, siempre que suban archivos, ponlos en una carpeta que no sea leible desde web, es decir si tu sitio es así:

Código:

/home/tuuser/public_html/miscriptupload.php

Subelos a una carpeta arriba:

Código:

/home/tuuser/uploads/

Así no son leíbles vía web, y tu ya luego te encargas de servirlos via un script PHP.

Saludos.

geq · #3 (**permalink**) 25/02/2008, 12:04

Ah, perfecto, muchas gracias.

--edit
Lastima que mi hosting no permite a php escribir fuera del directorio web..

--

Éxitos.