Sicherer Bilderupload mit PHP

M

mail2mrx

Mitglied
Hallo Zusammen,

ich würde gerne einen Bilderupload programmieren, der sicher ist.

Meine Überlegung ist die:
Damit das PHP script Bilder in einem Verzeichnis speichern kann, brauch es ja dort Schreibrechte.
Wenn das PHP Skript Schreibrechte auf diesem verzeichnis hat, hat doch meines Wissens jeder Besucher der homepage Schreibrechte in diesem Verzeichnis, oder?
Also könnte dort jeder (am Skript vorbei) Dateien hochladen bzw. noch viel schlimmer, vorhandene löschen, oder?

Ich probiere es gerade mit chgrp bzw. chown aus, aber damit komme ich auch nicht weiter...

Die einzige sichere möglichkeit, die mir einfällt ist es, per PHP eine FTP Verbindung aufzubauen, aber das kann doch nicht die einzige Möglichkeit sein, oder

Bin auf eure Vorschläge und Erfahrungen gespannt


Gruß Alex
 
Wieso sollte jeder Besucher Zugriff auf das Verzeichnis haben?
Dazu braucht der jenige erst mal einen Zugang auf das Dateisystem, und zwar nicht über den Webserver!
Sprich: z.B. Telnet/SSH oder FTP!

Wenn du nicht gerade einen einen anonymus Account angelegt hast, sollte das Verzeichnis nicht von jedem beschreibbar sein (verbessert mich, wenns falsch ist)
 
ich bin mir da ja auch nicht sicher.

Ich weiß nur, dass die Benutzer der Webseite im System beispielsweise als User und Gruppe "apache" laufen.

wenn ich diesem User jetzt schreibrechte in einem Verzeichnis gebe, müsste er doch darin schreiben können, auch ohne extra passwort oder ftp zugang, oder?

das er sich den inhalt des Verzeichnis anzeigen lässt könnte ich ja per htacces abfangen, aber ob das reicht

gruß
Alex
 
Das könnte der User genau dann, wenn du ihm, wie auch immer die Möglichkeit gibst, seinen PHP Code auf deinem Server auszuführen.
Immer dran denken, der Webserver, also das Programm was da auf dem Server läuft hat das Recht, was noch nicht dazu führt, dass jeder der auf das Programm zugreift, das Recht hat. Erst wenn du dem Server über eingeschleusten PHP Code o.Ä. sagen kannst, was er tun soll, dann besteht ein Risiko.
Da man das ja aber sowieso tunlichst vermeiden sollte und du eine solche Sicherheitslücke wahrscheinlich nicht in deinem System einprogrammiert hast, kannst du den Upload ohne Angst vor mißbraucht programmieren. Ganz normal ohne irgendwelchen Firlefanz.
 
Ja ok, das hilft mir schonmal.
Die dateirechte bzw. den Besitzer kann ich wahrscheinlich nicht per PHP ändern, weil der user "apache" nicht in der Zielgruppe ist, oder?

Oder reicht es, wenn die PHP Datei, die den Upload macht, einem User der Zielgruppe gehört

Schon mal vilen Dank für Eure schnellen antworten

Alex
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück