zmiana mime lub jakas alternatywa...
waclaws - 15-05-2008 11:37
zmiana mime lub jakas alternatywa...
Witam.
Mam konto 60GP, musze miec mozliwosc w cms uploadowania plików/ obrazów do danego katalogu, jednak potrzebuje dodatkowego zabezpieczenia poza javascript zeby nie mozna było uploadowac pliku php itd...ze względu bezpiczenstwa poniewaz katalog ma prawa 777 chciałem na wszelki wypadek zrobic tak aby pliki php, htmp .py uitp były traktowane jako tekst....czyli wyświetlane po zawartosci a nie wykonywane przez apacha... i tu schody....
Na dziendobry po wpisaniu w .httaccess : AddType text/html .html .htm .shtml .php .php3 .phtml .phtm .pl .py .cgi
nie mam zadngo dostepu do katalogu podejrzewam ze dzieje sie tak dlatego iz serwer nie interpretuje tego polecenia prawdiłowo.... jak na to poradzic...? dacie mozliwosc takiej opcji ? jakies inne wyjscie z tego?
albo: jak zrobic jesli nawet jakiemus cwaniakowi uda sie uploadowac plik php.. zeby z tego katalogu był traktowany jako tekst.... statyczny tekst... chociaz nie wiem czy potem nie bedzie mógł includowac takiego pliku igo wykorzytsa dalej......
utf - 15-05-2008 11:41
a nie lepiej podczas uploadu sprawdzić rozszerzenie i jeżeli Ci ono nie pasuje to albo odrzucić plik albo jak bardzo chcesz mieć go to zapisać go jako txt?
Poza tym to nie ten dział :)
waclaws - 15-05-2008 18:18
i tak tez jest uczynione :)
Ale.... zawsze ejest jakies ale... nie chciałebym aby jakis cwaniak dorwawszys skrypt cms-a i przeanalizowawszy go potrafił uploadowac na ten folder jakis swój plik php... potem tylko zostałoby mu include.... i ...strona jego... :) to takie.... powiedzmy ostatnia .....deska ratunku.... :) jak na razie nic nie wiem na ten temat ze da sie obejsc te kontrole rozszerzenia ...ale.. wolałbym sie nie przekonywac... a pozatym jak zobaczyłem w skrypcie kolegi ze jego edytor wysiwyg uploaduje pliki bez kontroli sesji.... sam rozumiesz co bedzie jesli ktos domysli sie w którym katalogu jest te edytor.. wysle na strone co bedzie chciał... ...
:) licho nieśpi :)
zanotowane.pldoc.pisz.plpdf.pisz.plkonstruktor.keep.pl