---

Hey!

Jeg mangler et PHP-script, som kan flg.

1. Uploade en fil (gif, png, jpg, jpeg).
2. Skifter automatisk filnavnet til det samme som variablen
$coo_username er. (dog stadig med samme ext.)
3. Overskriver selv uden og spørge hvis filen findes i forvejen.

Er der nogle som har sådan et jeg kan få?`

--
Thomas Løjmann Jørgensen
lojmann@lojmann.dk

"I like: rm -rf /bin/laden"

---

"Thomas Løjmann Jørgensen" <lojmann@lojmann.dk> skrev i en meddelelse
news:7of6qt0s3q9ltlanudq8gaoh4jlk0jjoc7@4ax.com...

> Jeg mangler et PHP-script, som kan flg.
>
> 1. Uploade en fil (gif, png, jpg, jpeg).
> 2. Skifter automatisk filnavnet til det samme som variablen
> $coo_username er. (dog stadig med samme ext.)
> 3. Overskriver selv uden og spørge hvis filen findes i forvejen.
>
> Er der nogle som har sådan et jeg kan få?`

PEAR har en lækker upload-klasse der hurtigt vil kunne konfigureres til
dette.

--
Mvh./Best Regards
Jonas Delfs, http://delfs.dk

---

Anyone else?

:)

---

Løst fra hovedet (jeg stener):

<?php
if ($hest && $hest != "none") {
   copy($hest,$hest_name);
}
?>
<html>
<head>
<title>Whiii</title>
</head>
<body>
<form action="<?=$PHP_SELF ?>" method="post"
enctype="multipart/form-data">
<input type="file" name="hest"><br>
<input type="submit" value="Klik på mig, det kilder så dejligt">
</form>
</body>
</html>

--
Andreas Frøsting
http://phpwizard.dk
glaf glaf glaf!

---

On Sun, 16 Sep 2001 16:14:56 +0200, Andreas Frøsting
<smoelf@phpwizard.dk> wrote:

Kanont... Så mangler den bare lige og smide samme ext. på, og så lige
smide den i et subdir, ved navn "images"

kan du også stene dig frem til det?

;)

/løjmann

---

After I finished the 3 Pan Galactic Gargle Blasters, Thomas Løjmann
Jørgensen <lojmann@lojmann.dk> just offered me, he muttered some weird
stuff, and I had to correct this gibberish:

>kan du også stene dig frem til det?

Hvad med selv at gøre en indsats?
--
Martin Mouritzen.
The truth is out there! Does anyone know the URL?

---

>Kanont... Så mangler den bare lige og smide samme ext. på, og så lige
>smide den i et subdir, ved navn "images"
>
>kan du også stene dig frem til det?

copy($hest,"images/".$coo_username.substr($hest_name,strrpos($hest_name,".")));

Noget i den stil, du skal måske rode lidt med substr(), jeg gider ikke
- du skal også arbejde lidt... :)

--
Andreas Frøsting
http://phpwizard.dk
glaf glaf glaf!

---

On Sun, 16 Sep 2001 17:21:12 +0200, Andreas Frøsting
<smoelf@phpwizard.dk> wrote:

>>Kanont... Så mangler den bare lige og smide samme ext. på, og så lige
>>smide den i et subdir, ved navn "images"
>>
>>kan du også stene dig frem til det?
>
>copy($hest,"images/".$coo_username.substr($hest_name,strrpos($hest_name,".")));
>
>Noget i den stil, du skal måske rode lidt med substr(), jeg gider ikke
>- du skal også arbejde lidt... :)
Hehe... Jeg takker af hjertet :)

/Løjmann

---

On Sun, 16 Sep 2001 17:33:40 +0200, Thomas Løjmann Jørgensen
<lojmann@lojmann.dk> wrote:

>>Noget i den stil, du skal måske rode lidt med substr(), jeg gider ikke
>>- du skal også arbejde lidt... :)
>Hehe... Jeg takker af hjertet :)

.... og er du lige begyndt at rode med PHP-filupload, så kan det kun
anbefales, at du ikke lader vilkårlige folk uploade filer med deres
originale filendelse. Det ville kunne betyde, at folk kunne få lov til
fx at uploade PHP-filer for derefter at tilgå filer på systemet.

Check med fx "GetImageSize" for at checke om det er et billede er
heller ikke nok. For nyligt bankede jeg et gifbillede sammen og smed
noget PHP i et gif-kommentar-felt, hvilket gjorde, at når filen hed
".gif", var det et 100% gyldigt billede. Og når filen hed ".php" var
det 100% gyldig PHP...

--
- Peter Brodersen

---

On Sun, 16 Sep 2001 22:26:22 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

Spændene problematik, den havde jeg ikke lige tænkt på... Jeg takker
meget for det...:)

/Thomas Løjmann

---

On Mon, 17 Sep 2001 19:30:21 +0200, Thomas Løjmann Jørgensen
<lojmann@lojmann.dk> wrote:

>Spændene problematik, den havde jeg ikke lige tænkt på... Jeg takker
>meget for det...:)

For en god ordens skyld kan det nævnes, at det ikke blot er teoretisk,
men der er praktiske tilfælde, hvor script-kiddies søger på Google
efter fx "PHP upload", finder en PHP-side med et upload-script,
uploader en PHP-fil (fx ved navn "a.php"), og derefter forsøger at gå
ind på /a.php, /uploads/a.php og lignende URL's.

Det er i hvert fald hvad en bekendt oplevede (der placerede nye,
uploadede filer udenfor web-scope). Han var også overrasket over et
sådan longshot - altså at en nørd ganske enkelt bare søger efter
noget, han måske kan udnytte, ukritisk af hvilket site, det egentligt
er (men et defacement er vel et defacement).

--
- Peter Brodersen

---

On Mon, 17 Sep 2001 22:56:22 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

Ja ok, jeg tror nu at vælge at folk selv skal have deres pics liggene
så :)

/Thomas

---

Thomas Løjmann Jørgensen wrote:
> Ja ok, jeg tror nu at vælge at folk selv skal have deres pics liggene
> så :)

Hvis der bare er tale om billeder kan et tjek på .gif eller .jpg endelse
laves simpelt.

--
mvh Andreas Kleist Svendsen

---

On Tue, 18 Sep 2001 18:58:29 +0200, Thomas Løjmann Jørgensen
<lojmann@lojmann.dk> wrote:

>Ja ok, jeg tror nu at vælge at folk selv skal have deres pics liggene
>så :)

Tjah, sålænge, du står for filnavnet, så er det ikke så slemt, om et
billede i virkeligheden indeholder opskriften på plutonium.

--
- Peter Brodersen