/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Upload af .rtf filer?
Fra : Ulrich


Dato : 28-08-02 02:27

Hej

Jeg roder med et upload-system, med et indbygget filtype-tjek, og
scriptet lader kun filer med mime typen application/msword (.doc) og
image/jpg (.jpg) slippe igennem.

Hvordan får jeg lov til at uploade .rtf-filer? Det kan ikke lade sig
gøre med application/msword.

Hedder mime typen for .rtf-filer ikke application/rtf? Det virker heller
ikke.

Hvis ikke filtypen skal tjekkes med fx application/msword, hvordan kan
filtypen da tjekkes, så jeg får lov til at uploade .rtf-filer, men ikke
..php og .js?

Ulrich


 
 
Peter Brodersen (28-08-2002)
Kommentar
Fra : Peter Brodersen


Dato : 28-08-02 02:39

On Wed, 28 Aug 2002 03:26:55 +0200, Ulrich
<Ulrich_egholm@mail1.stofanet.dk> wrote:

>Jeg roder med et upload-system, med et indbygget filtype-tjek, og
>scriptet lader kun filer med mime typen application/msword (.doc) og
>image/jpg (.jpg) slippe igennem.

Såfremt at du bruger folks filnavne, så vil jeg anbefale at du blot
nøjes med at tjekke på extension (og allerede nu kan jeg høre råb fra
forargede folk :)

Filers mimetype kan afhænge meget af afsenderens system; et system,
hvor Word ikke er installeret, vil fx ikke nødvendigvis kende en
Word-fil. Dertil kommer, at jpeg-filer kan sendes med, med mange
forskellige mime-typer, fx image/pjpeg.

Hvis brugerens filnavn bruges uden videre, så vil man tillige kunne
snyde fx en PHP-fil ind på systemet, blot ved at sende den rette
mime-type med i den forbindelse (tricky, men kan gøres, hvis man vil).
Og hvis filer ikke isoleres og behandles af et bestemt
download-script, der også husker den oprindelige mime-type, i stedet
for at kunne hentes/requestes direkte, så er der næsten frit spil.

En browser vil sandsynligvis alligevel bedømme mime-type'n ud fra
filnavnet, så mit forslag er altså at nøjes med at tjekke på
extension, og så kun tillade et par enkelte (fx .doc, .rtf, .jpg,
..jpeg).

--
- Peter Brodersen

Ulrich (28-08-2002)
Kommentar
Fra : Ulrich


Dato : 28-08-02 18:54

In article <akh9ir$308$1@dknews.tiscali.dk>, usenet@ter.dk says...
> On Wed, 28 Aug 2002 03:26:55 +0200, Ulrich
> <Ulrich_egholm@mail1.stofanet.dk> wrote:
>

> Hvis brugerens filnavn bruges uden videre, så vil man tillige kunne
> snyde fx en PHP-fil ind på systemet, blot ved at sende den rette
> mime-type med i den forbindelse (tricky, men kan gøres, hvis man vil).
> Og hvis filer ikke isoleres og behandles af et bestemt
> download-script, der også husker den oprindelige mime-type, i stedet
> for at kunne hentes/requestes direkte, så er der næsten frit spil.
>

Jeg vælger at stole på det gode i mennesket og sorterer efter mime-
type. Jeg fandt ud af, at .rtf mime-typen er text/richtext og det var
alt, jeg behøvede at vide, for at kunne uploade .rtf filer

Men alligevel tak for svaret.

Ulrich

Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste