Dateiupload
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
benutzen
bezeichnete datei
code
datei
datum
einschalten
formular
frage
ftp
funktion
funktionieren
http
konstante nutzen
last
post
rest
service
umstellung
url
zwischenzeit
-
Guten Abend,
ich habe mal ne ganz blöde Frage. Funktioniert dieses Tutorial https://www.lima-city.de/tutorials/datei-upload-mit-datei-anzeige-und-zugrifsschutz noch? Wenn das Tutorial trotz der Umstellung bei lima-city funktionieren sollte, wo kann ich die PHP Fehlermeldung einschalten? ( das neue Design gefällt mir dennoch )
Hoffentlich ist das jetzt ein neues Thema wert gewesen
edit: Wie werden da die Daten aus dem Formular ins PHP-Script getragen ohne die POST-Variablen zu benutzen?
Beitrag zuletzt geändert: 24.3.2018 22:28:36 von demivee -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Sollte funktionieren, ist aber nicht zu empfehlen.
Da ist jeder FTP Service sicherer und hat höhere Upload limits. Zudem ist es äußerst fragwürdig Passwörter in den Code zu schreiben und vor allem unverschlüsselt aufzubewahren.
Wenn du es so lösen willst, bau dir lieber selbst etwas für den Login und Upload. -
Höhere Uploadlimits brauche ich nicht. Im Grunde möchte ich nur eine kleine Textdatei hochladen können. Abgesehen davon will ich lima-city so wenig wie möglich zur Last fallen, da ich das kostenlose Angebot nutze.
Das Passwort im Code gefällt mir auch nicht um ehrlich zu sein.
Aber ich nehme mal an, dass wenn man als außenstehender in den phpcode schauen kann, schon gewaltig was schief läuft.
Ein anderes Skript habe ich in der Zwischenzeit erfolgreich zum laufen gebracht,
dennoch frage ich mich warum Im Tutorial nirgendwo auf $_FILES zugegriffen wird. Wie kommt man da dann an die Datei? -
Letztendlich tut copy() die Zauberrei des Uploads. Der Rest ist nur zum überprüfen ob alles okay ist.
http://php.net/manual/de/function.copy.php
Beitrag zuletzt geändert: 24.3.2018 23:41:33 von horstexplorer -
demivee schrieb:
Wie werden da die Daten aus dem Formular ins PHP-Script getragen ohne die POST-Variablen zu benutzen?
Früher gab es register_globals, dadurch ging das. Wurde auch mit 5.4 endgültig entfernt.
Prinzipiell ist der Code sowieso richtig unsauber und auch teils einfach unsicher (siehe unten). Nicht existente Arrays füllen, Array-Elemente als Konstante nutzen, ...
Auch sehr gut möglich, dass sowas wie $_SERVER["PHP_AUTH_USER" ] mit FPM nicht mehr ohne Weiteres tut.
horstexplorer schrieb:
Da ist jeder FTP Service sicherer [...]. Zudem ist es äußerst fragwürdig Passwörter in den Code zu schreiben und vor allem unverschlüsselt aufzubewahren.
Genau mein Humor: "Man sollte Passwörter nicht in den Quelltext schreiben".
Aber dann FTP (bei dem nichts verschlüsselt wird) als sicherer bezeichnen.
Wir haben ja im Chat eben schon geklärt, dass du wohl auch eher FTPS meinst. Solange das 2 verschiedene Einstellungen im Client sind sollte man das durchaus erwähnen.
horstexplorer schrieb:
Letztendlich tut copy() die Zauberrei des Uploads. Der Rest ist nur zum überprüfen ob alles okay ist.
copy prüft allerdings z.B. auch nicht den Dateinamen selbst. Ein "../blub.xyz" wäre also erst mal problemlos möglich. Und auf solche Dinge wird auch nicht extra geprüft.
Also wirklich überprüfen ob "alles okay" ist tut der Code nicht.
Edit: Für User-Uploads gibt es btw extra eine Funktion: move_uploaded_file.
Diese Funktion prüft, dass die mit filename bezeichnete Datei eine gültige Upload-Datei ist (d.h., dass sie mittels PHP's HTTP POST Upload-Mechanismus hochgeladen wurde). Ist die Datei gültig, wird sie zum in destination bezeichneten Dateinamen verschoben.
Beitrag zuletzt geändert: 25.3.2018 0:55:25 von muellerlukas -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage