Prohibir extensiones en upload php

render_ · #1 (**permalink**) 18/05/2010, 07:52

Hola a todos.

Quería haceros una pregunta referente a una aplicación php que tengo.

La cuestión es que esta aplicación tiene un upload para subir archivos y quería saber si podría especificar en el php.ini de alguna manera que solo se pudiesen subir archivos con una extensión determinada o lo que es lo mismo, bloquear la subida de algunas extensiones como .exe, .bat, .com... etc

Gracias.

kokoou · #2 (**permalink**) 18/05/2010, 09:21

No sabria decirte si puedes hacerlo desde el php.ini, pero cuando haces el upload, el array de las propiedades de $_FILE tiene una que indica la extension y la puedes comprar con un if o un switch tranquilamente.

wiwi74 · #3 (**permalink**) 18/05/2010, 11:08

Hazo el php y listo, Ejemplo:

$archivo=explode(".", "ARCHIVO_A_SUBIR");

if($archivo[1] != "jpg"){

echo "El archivo a subir no es jpg...!";

}else{

//se sube el archivo

}

spider_boy · #4 (**permalink**) 18/05/2010, 14:22

Cita:

Iniciado por wiwi74

Hazo el php y listo, Ejemplo:

$archivo=explode(".", "ARCHIVO_A_SUBIR");

if($archivo[1] != "jpg"){

echo "El archivo a subir no es jpg...!";

}else{

//se sube el archivo

}

¿Y si el nombre fuera algo como : nombre.fecha.hora.uploader.jpg?

kokoou · #5 (**permalink**) 18/05/2010, 23:12

Como te dije antes puedes comparar el type del archivo que se guarda con este parametro:

Código PHP:

Ver original$_FILES['campo_file']['type']

y para fijarte que extension tiene, puedes hacer un if simple:

Código PHP:

Ver originalif($_FILES['campo_file']['type'] != "application/octet-stream" && $_FILES['campo_file']['type'] != "multipart/x-zip" )
{
 // no es .exe y tampoco es .zip
 // entonces hago el upload
}
else
{
 // el archivo no esta permitido.
}

y para ver los distintos type que pertenecen a cada extension puedes buscarlos aqui:

http://www.webmaster-toolkit.com/mime-types.shtml

render_ · #6 (**permalink**) 19/05/2010, 04:03

Gracias... voy a probar y os cuento..

bl4ck · #7 (**permalink**) 19/05/2010, 06:50

hola amigo yo tengo este codigo para permitir algunas extensiones en el upload.

Código PHP:

  $allowed_types = array(
     'image/pjpeg',
     'image/gif',
     'image/png',
     'image/jpeg',
     'image/jpg',
     'application/msword',
     'application/vnd.ms-excel',
     'application/pdf',
     'application/vnd.ms-powerpoint');

Avisame si tiens duda, esas son las extensiones mime que se pueden obtener con el $_FILES['type'].

wiwi74 · #8 (**permalink**) 19/05/2010, 07:43

Mira:

//literal
//$_FILES['archivo']['name'] = "archivo.txt";

//esta variable contiene el nombre del archivo subido
//siempre y cuando en el form lo llames (como en este caso) asi "archivo":
<input type="file" name="archivo" />

( $_FILES['archivo']['name'] )

//si no te gusta esto
$ext = explode(".",$_FILES['archivo']['name']);
echo $ext[1]."<br />";

//buscamos el ultimo punto
$dot_pos = strrchr($_FILES['archivo']['name'], ".");
$ext = explode(substr($dot_pos,0,1),$_FILES['archivo']['name']);
echo $ext[1]."<br />";

$ext = substr($_FILES['archivo']['name'], -3);
echo $ext."<br />";

...Espero que te sirva. ..Bueno, a mi me sirve.

Saludos...!

render_ · #9 (**permalink**) 19/05/2010, 07:57

bueno el archivo creo que hace la función de upload lo dejo aquí adjunto. En el creoq eu he visto algo referente a ello marcado con un comentario pero no se modificarlo a ver si me echais una mano.

Se encuentra en la linea 65

/**
* Return the files from specific directory. This function can filter result
* by file extension (accepted param is single extension or array of extensions)
*
* @example get_files($dir, array('doc', 'pdf', 'xst'))
*
* @param string $dir Dir that need to be scaned
* @param mixed $extension Singe or multiple file extensions that need to be
* mached. If null no check is performed...
* @param boolean $base_name_only Return only filenames. If this option is set to
* false this function will return full paths.
* @return array
*/

Este es el enlace al archivo al completo: http://www.megaupload.com/?d=MGL43XQN

wiwi74 · #10 (**permalink**) 19/05/2010, 08:08

//aqui tendrias las extensiones, pero esta comentado y habria que ver mas
//example get_files($dir, array('doc', 'pdf', 'xst'))

A ver si te sirve esto:

http://php.net/manual/en/features.file-upload.php
http://www.mediawiki.org/wiki/Manual...g_file_uploads

...Ah, diste la url para descargarlo...

wiwi74 · #11 (**permalink**) 19/05/2010, 08:20

Busca esta linea 78:

//veras esto, acepta extension doc
function get_files($dir, $extension = doc, $base_name_only = false)

//prueba asi, nota que agregue un array, acepta varias extenciones
function get_files($dir, $extension = array('doc', 'pdf', 'txt'), $base_name_only = false)

//o hazlo asi:
$extension = array('doc', 'pdf', 'txt')
function get_files($dir,$extension , $base_name_only = false)

//Nota tambien que en la linea 86 hace esto, verifica si $extension es un array:
if(is_array($extension))

Espero que funcione...!

render_ · #12 (**permalink**) 20/05/2010, 01:34

pues no ha funcionado. he probado a subir un .exe y me lo ha permitido.
no se exactamente como poderlo filtrar pero os puedo dar el nombre del programa de donde tengo el codigo por si os orienta.

El programa se llama Feng Office. Y en la parte de documentos tiene un upload el cual quiero filtrar para que no se puedan subir .exe, .com... etc.

He preguntado en el foro del programa pero no hay contestación y como mirando el codigo del programa encontré la parte que está comentada y el archivo php que os he puesto pues pensé que sería mas facil... pero parece que no.

De todas formas en el programa pone textualmente debajo del botón upload "Puede cargar archivos de cualquier tipo. El tamaño máximo permitido para cargar archivos es 500 MB".

Es decir, que el tamaño de subida lo he modificado en el php.ini facilmente... por tanto intuyo que el tipo de archivo tambien se puede si no el programa no mostraría nada.

A ver si consigo filtrarlo porque si no vaya fallo...

Un saludo y gracias.

wiwi74 · #13 (**permalink**) 20/05/2010, 08:03

En ese script hay una funcion llamada asi "download_file" en ninguna linea hay algo que diga "upload_file" "upload"

Revisa que no tengas un archivo para subir y otro para bajar.

Mientra voy a ver si averiguo algo.

Aca hay algo que te puede ayudar:
http://fengoffice.com/web/wiki/doku.php/installation

Saludos..!

render_ · #14 (**permalink**) 20/05/2010, 12:05

Muchas gracias wiwi74.

Yo tambien sigo buscando información. Incluso he posteado en sus foros...

A ver si conseguimos que tire.

Saludos.