Hacksicheres Bild-Upload Script?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anwenden
auslese
bild
datei
erstellen
file
frage
funktion
hacken
hilfe
http
index
info
komplett server
machen
oleander
schema
sprechen
type
url
-
Hallo Zusammen,
Ich suche ein Hack-Sicheres bzw. Sicheres Bilduploadscript. Das Biilduploadscript sollte schon Vorgefärtigt sein, habt ihr da Irgedwelche Tipps, Linkls oder sogar Skripte?
mfg
gatterer -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hi, hab da mal was gefunden, was mir schon früher geholfen hat.
http://www.php-space.info/bilder-upload-script/
Vielleicht hilft dir das weiter.
Frage: Was meinst du mit sicher? -
gerwald schrieb:
Hi, hab da mal was gefunden, was mir schon früher geholfen hat.
http://www.php-space.info/bilder-upload-script/
Vielleicht hilft dir das weiter.
Frage: Was meinst du mit sicher?
Genau dieses Script wurde Gehackt^^ -
gatterer schrieb:
gerwald schrieb:
Hi, hab da mal was gefunden, was mir schon früher geholfen hat.
http://www.php-space.info/bilder-upload-script/
Vielleicht hilft dir das weiter.
Frage: Was meinst du mit sicher?
Genau dieses Script wurde Gehackt^^
Tschuldigung , aber das war ja sowas von trivial zum kaputtmachen, da kann man ja gar nicht von hacken/cracken sprechen. -
kochmarkus schrieb:
gatterer schrieb:
gerwald schrieb:
Hi, hab da mal was gefunden, was mir schon früher geholfen hat.
http://www.php-space.info/bilder-upload-script/
Vielleicht hilft dir das weiter.
Frage: Was meinst du mit sicher?
Genau dieses Script wurde Gehackt^^
Tschuldigung , aber das war ja sowas von trivial zum kaputtmachen, da kann man ja gar nicht von hacken/cracken sprechen.
Gbt es dann eigentlich ein Sicheres script? -
Hallo,
klar gibt es ein bis zu einem gewissen Maß "Hack-sicheres" Script.
Du musst mit Hilfe der GD-Lib oder anders komplett Server seitig und nicht mit Hilfe der HTTP Headern die der CLIENT überträgt checken was das für eine Datei ist.
Das Upload Script von PHP-Space macht das eigentlich genau so, also über die GD-Lib.
Ich werde das Gefühl nicht los das du eine uralte Version hast.
lg
Oleander -
olearose schrieb:
Hallo,
klar gibt es ein bis zu einem gewissen Maß "Hack-sicheres" Script.
Du musst mit Hilfe der GD-Lib oder anders komplett Server seitig und nicht mit Hilfe der HTTP Headern die der CLIENT überträgt checken was das für eine Datei ist.
Das Upload Script von PHP-Space macht das eigentlich genau so, also über die GD-Lib.
Ich werde das Gefühl nicht los das du eine uralte Version hast.
lg
Oleander
Tja, das nützt aber auch nicht viel, wenn eine Funktion zum Bilder löschen eingebaut ist, und ein »Löschlink« nach dem Schema: http://example.com/bilder/index.php?file=bild.png&delete=1 aufgebaut ist und man den Dateinamen beliebig verändern kann. -
kochmarkus schrieb:
olearose schrieb:
Hallo,
klar gibt es ein bis zu einem gewissen Maß "Hack-sicheres" Script.
Du musst mit Hilfe der GD-Lib oder anders komplett Server seitig und nicht mit Hilfe der HTTP Headern die der CLIENT überträgt checken was das für eine Datei ist.
Das Upload Script von PHP-Space macht das eigentlich genau so, also über die GD-Lib.
Ich werde das Gefühl nicht los das du eine uralte Version hast.
lg
Oleander
Tja, das nützt aber auch nicht viel, wenn eine Funktion zum Bilder löschen eingebaut ist, und ein »Löschlink« nach dem Schema: http://example.com/bilder/index.php?file=bild.png&delete=1 aufgebaut ist und man den Dateinamen beliebig verändern kann.
Das ist auch ausgesprochen.... ^^
Also generell zum Upload, worauf du achten musst:
- prüfe ob die Datei tatsächlich ein Bild ist
-- HTTP Header checken
-- mit PHP den Mime Type auslesen und nur eine Whitelist erlauben (z.B. Whitelist: gif, jpeg, png)
-- Größe und andere Variablen checken und ggf. verkleinern oder direkt abweisen (sonst hat du nachher ein Archiv als Bild getarnt auf deinem Space)
- prüfe den Namen des Bildes
-- es darf keine Sonderzeichen für Pfade vorhanden sein! => Funktion zum Auslesen des kanonischen Pfad auf den Dateinamen anwenden
-- die Dateiendung checken und ggf. abändern
-- den Dateinamen checken, ob das Bild nicht schon vorhanden ist
- das Bild nicht öffentlich zugänglich abspeichern
-- d.h. ein extra Verzeichnis erstellen
-- ein PHP Script erstellen, welches an Hand eines Paramters das Bild ausliest und dann mit dem richtigen Mime Type zurückgibt - dadurch verhinderst du, dass der Apache erst gar nicht in Versuchung kommt das Bild zu parsen
Sooo, viel Spaß: ;o -
Danke für dei Anworten^^
Huch... is das alles Kompliziert
Gibt es nicht schon ein Vertiges sicheres Script?
lg
gatterer -
Haii x3,
ich benutze schon seit langem das Script Verzeichniss Dreamcodes.
Dort ist alles sehr übersichtlich und kategorisch aufgeteilt.
Ebenso gibt es dort eine menge Scripts.
Schau es dir einfach mal an.
www.dreamcodes.de
Mit freundlichem Gruß:
Marcel -
Hallo gatterer
Ich möchte grundsättzlich etwas zum Thema "Hack-Sicher" einbringen:
Komplett sicher zu gestalten ist und wird nie möglich sein. Dies ist technisch nicht möglich. Aber dass ist nicht der Kern meiner Aussage. Ich möchte dir sagen, dass es kein Signet, Bestätigung oder ähnliches gibt gegen die hackbarkeit eines Scriptes.
Da ein Upload-Script relativ einfach zu erstellen ist, sind viele der dargebotenen Script von Hobby-Entwickler programmiert worden. Meinen Erfahrungen nach sind sogut wie jedes solcher script (sher) anfällig auf Angriffe, da dies meist viel zu wenig getestet wird.
Wenn du also ein hack-sicheres Script suchst, musst du jedes Script, dass in Betracht kommt, selber testen.
Dazu gibt es Richtlinien und Testläufe zu fast jeder Sprache verfügbar, google liefert dir sicher treffer. Schaue dir am gründlichsten die Werte-Übergaben an (werden die werte auf z.b. sql-code überprüft, was passiert bei nicht erwarteten inputs etc). Denke daran nicht nur GET-Variabeln anzuschauen, sondern auch POST - den TCP/IP Päkchen können einfach manipuliert werden und somit andere Werte bei z.b. einem hidden-feld übermitteln, als gedacht. Wenn dann sogar noch eine serverseitige Fehlermeldung angezeigt wird, hat ein Hacker grosse Chancen... Allerdings ist ein Script komplett zu prüfen eine Meisteraufgabe, die sehr viel Zeit in Anspruch nimmt.
Somit bist du der einzige, der dir eine Garantie auf die Stabilität des Scriptes geben kann.
Cheers, Sublime aka All-Web -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage