CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede silmarillion Juniormester
20. september 2009 - 18:34 Der er 9 kommentarer og
1 løsning

Validering af filtype

Hej Eksperter,

Her er et script der virker som det er, men jeg vil gerne have det til kun at acceptere css filer, ikke billedfiler.

<?php
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 200000))
  {
  if ($_FILES["file"]["error"] > 0)
    {
    echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
    }
  else
    {
    echo "Upload: " . $_FILES["file"]["name"] . "<br />";
    echo "Type: " . $_FILES["file"]["type"] . "<br />";
    echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";

    if (file_exists("upload/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "upload/" . $_FILES["file"]["name"]);
      echo "Stored in: " . "upload/" . $_FILES["file"]["name"];
      }
    }
  }
else
  {
  echo "Invalid file";
  }
?>





Jeg har forsøgt at ændre

if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 200000))

til:

if (($_FILES["file"]["type"] == "text/css")
&& ($_FILES["file"]["size"] < 200000))

Men får fejlbeskeden "Invalid file"

Er der nogen der kan sige hvad jeg gør galt?
Avatar billede olebole Juniormester
20. september 2009 - 19:34 #1
<ole>

$a = explode(".", $_FILES["file"]["name"]);
if (end($a)=="css") {
    // CSS-fil
}

/mvh
</bole>
Avatar billede cot Nybegynder
20. september 2009 - 19:39 #2
hejsa :)

det virker helt fint for mig, hvis jeg bare ændrer det til text/css:

<form name="form1" enctype="multipart/form-data" method="post" action="">
    <input type="file" name="file" id="upload">
<br/>
    <input type="submit" name="button" id="button" value="Upload!">
</form>

<?php
if(isset($_POST['button'])){
if ((($_FILES["file"]["type"] == "text/css"))
&& ($_FILES["file"]["size"] < 200000))
  {
  if ($_FILES["file"]["error"] > 0)
    {
    echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
    }
  else
    {
    echo "Upload: " . $_FILES["file"]["name"] . "<br />";
    echo "Type: " . $_FILES["file"]["type"] . "<br />";
    echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";

    if (file_exists("upload/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "upload/" . $_FILES["file"]["name"]);
      echo "Stored in: " . "upload/" . $_FILES["file"]["name"];
      }
    }
  }
else
  {
  echo "Invalid file";
  }
  }
?>


Ved upload kommer denne melding:
Upload: pollmaker.css
Type: text/css
Size: 1.0322265625 Kb
Temp file: /var/www/tmp/php7BNNdm
Stored in: upload/pollmaker.css
Avatar billede olebole Juniormester
20. september 2009 - 20:03 #3
Ja, men så udsætter du dig for seriøs ballade! Jeg kan uploade en eksekverbar fil med faked MIME-typen - men en fil, der ender på .css kan aldrig eksekveres  ;o)
Avatar billede olebole Juniormester
20. september 2009 - 20:04 #4
- og det betyder, at hvis du tester på MIME-typen, kan jeg slette alt på din server  ;o)
Avatar billede cot Nybegynder
20. september 2009 - 20:15 #5
Hehe ok :)
Kan det samme så ikke gøres for mime-typen image/gif f.eks.?
Avatar billede silmarillion Juniormester
20. september 2009 - 20:20 #6
@ cot, mærkligt det ikke virker hos mig.

@ olebole, sikkerheden skal naturligvis være i orden, udover at uploade filen, skal der også gemmes en titel i en mysql database, så jeg er gået over til et script der ser ud som følger:

$path_to_directory = 'CSS_upload/';

if(isset($_FILES['fil'])) { 
     
    if(preg_match('/[.](css)$/', $_FILES['fil']['name'])) { 
         
        $filename = $_FILES['fil']['name']; 
        $source = $_FILES['fil']['tmp_name'];     
        $target = $path_to_directory . $filename; 
         
        move_uploaded_file($source, $target); 
         
    } 


if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "css_uploader")) {
  $insertSQL = sprintf("INSERT INTO styles (navn, filnavn) VALUES (%s, %s)",
                      GetSQLValueString($_POST['navn'], "text"),
                      GetSQLValueString($_FILES['fil']['name'], "text"));


Hvordan vil du vurdere sikkerheden her?
Hvis der kun skal skrives data i databasen, hvis det er en css fil, hvordan ville du skrive det?

Som det er nu uploader den kun, hvis det er en css fil, men den skriver filnavnet og titlen i databasen, selv hvis man forsøger at uploade en fil af en anden type.
Avatar billede olebole Juniormester
20. september 2009 - 23:31 #7
Du skal bare have din database indsættelse ind under betingelsen:

if(preg_match('/[.](css)$/', $_FILES['fil']['name'])) {

Så ville jeg nok kikke på mysqli, som sammen med prepared statements er langt sikrere i forhold til SQL-injection:
    http://dk2.php.net/manual/en/book.mysqli.php
    http://dk2.php.net/manual/en/mysqli-stmt.prepare.php
Avatar billede silmarillion Juniormester
21. september 2009 - 23:29 #8
Det virker fint nu, tak for hjælpen olebole, smid  et svar, så får du point.
Avatar billede olebole Juniormester
21. september 2009 - 23:57 #9
Selvtak  =)
Avatar billede olebole Juniormester
22. september 2009 - 22:29 #10
- og tak for points  =)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Hent array key Af nemlig i PHP 3 17/05/202415:22 17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP 11 09/05/202417:49 10/05/202421:28
Adgang til vandaflæsningsdata Af nemlig i PHP 4 22/04/202422:04 30/04/202421:08
Vælg post rækkefølge Af Mojo_dk i PHP 3 06/04/202418:40 07/04/202412:20
Hjælp til PHP Af Friis77 i PHP 5 11/02/202419:58 12/02/202407:55
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 22:23 ='uge 25'!H$31 Af lurup i Excel
I går 15:12 Tekstoplæsning - fjerne talebesked Af 1Dorte i Android
I går 12:57 End Down Af PGFfyn i Excel
I går 11:37 Hvilken type adapter skal man bruge - USB Af clausito i PC
I går 11:11 Appel Copy Paste Af HenningFr i iOS, iPhone & iPad
White papers
Flere white papers »


Premium
Teaser billede
Virksomheder af en vis størrelse får det svært i AI-ræset: Men bestemte tiltag kan sende dem frem i feltet
Læs mere »
På Bornholm jagter Computerworld bekymret svar på det store spørgsmål
NIS2-implementeringen er nu i gang: Varsler omfattende tilsyn og store bøder
Staten mister i stor stil teknisk kyndige it-folk: Vigtig viden om samfundskritiske systemer overlades til konsulenter
Se alle »
Computerworld
Teaser billede
Prøvekørt: Polestar 3 er en rendyrket designer-bil, som er ude på at forføre dig
Læs mere »
Test af to nye robotplæneklippere: En dyr og en mere overkommelig
Her er de enheder der får det nye Apple AI – vil du have det, skal du nok ud og købe en ny iPhone
Test: Her er den smarte økonomi-robot til din græsplæne
Se alle »
CIO
Teaser billede
OUH's fynske hosting-leverandør på vej mod konkurs efter ransomware-angreb: Kan ikke genoprette ramte systemer
Læs mere »
Microsoft dropper ny funktion i Copilot få måneder efter lanceringen
CIO hos Alm. Brand rydder op i legacy-systemer og skaber en ny it-arkitektur: Stripper alt ned til standardkode for at sikre fremtiden
Vælg it-sikkerhed, hvis du gerne vil tjene mange penge: Disse cheftitler scorer de højeste lønninger i it-branchen
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
Sådan får du overblik og beskytter dine cloudapplikationer
Sådan gør du: Elektronisk dokumentudveksling i praksis
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »