Uploadformular ergänzen

[Dinchen333]

Hi, nach langem Suchen habe ich ein super Script für ein Uploadformular gefunden, welches ich gerne benutzen möchte.

Allerdings möchte ich noch ein Kommentarfeld hinzufügen (ein Kommentarfeld gibt es schon) und es soll noch ein Kästchen mit rein, das vor dem Upload bestätigt werden muss, ansonsten soll kein Upload möglich sein.

Ich habe mich informiert, das Script darf man auf die eigenen Bedürfnisse anpassen.
Es handelt sich um dieses Script: http://www.vionlink.de/vionlink-uploads-script_xl.php

Ich nehme an, dass die Änderungen in der vionlink_upload.php gemacht werden müssen.
Leider weiß ich nicht, wo ich da ansetzen muss.

Über etwas Hilfe von euch würde ich mich freuen.

 

[ComFreek]

Hallo,

ich fürchte, es hilft dir nicht weiter, aber ich würde ganz großen Abstand von diesem Skript nehmen.
Es nutzt noch die alte MySQL-Erweiterung, Passwörter werden nicht gehasht abgespeichert und Eingaben werden nur rudimentär maskiert!! Das ist alles andere als sicher! Da kann ganz leicht jemand SQL Injections ausführen und Daten aus der DB klauen.
Übrigens ist die jQuery-Bibliothek, die in dem Skript genutzt wird, mit folgenden Datum gekennzeichnet: Mon Jan 31 08:31:29 2011 -0500!

Ansonsten müsstest du erst einmal update.db.php ändern, um eine neue Spalte in der DB anlegen zu lassen.

 

[Dinchen333]

Ok danke für den Hinweis. Gibt es denn ein vergleichbar gutes Script, dass sicherer ist? (Kann auch ein paar Euro kosten)

 

[Jan-Frederik Stieler]

Hallo,
Uploadscripte zum kaufen gibt es z.B. hier: http://codecanyon.net/search?catego...n=desc&order_by=best-match&term=upload&utf8=✓
Welche davon nun sicher sind und welche nicht muss man dummerweise weitestgehend selbst beurteilen. Grad bei kaufscripten ist dies oft schwer oder gar nicht im Voraus zu beurteilen da man ja sich das Script nicht anschauen kann.
Ein wichtiger Punkt wäre bei Verwendung einer MySQl-Datenbank das Mysqli oder PDO für die Datenbankanbindung verwendet wird.

Viele Grüße

 

[Dinchen333]

Mh, das sind für mich leider böhmische Dörfer, ich musste eben erst einmal nachlesen, was SQL-Injections sind.
Kann man das Script nicht so umschreiben, dass die nicht mehr möglich sind?
Die Datei in der die DB-Zugangsdaten stehen könnte man ja mit einer .htaccess (deny from all) schützen und das Adminverzeichnis mit einem .htaccess-Passwortschutz.

 

[merzi86]

SQL-Injections ist ein Angriff, bei dem ein Angreifer eigene SQL-Befehl mit sendet.
Das Ziel ist dabei meistens die Übernahme des Servers oder zumindest die Spionage der Daten auf dem Server.

Umschreiben kann man die Skripte alle, man benötigt nur die Notwendigen Kenntnisse und die nötige Zeit (Einarbeitung in das Skript und das Umschreiben braucht etwas).

 

[ikosaeder]

1. Zum Upload:
Die Frage ist erstmal, was willst du mit den Uploads machen, bzw. welche Art von Datei soll hochgeladen werden.
Ein reines Uploadskript in PHP ist schnell gemacht und gibt es auch frei im Netz. Wichtig ist, das der Ordner Uploads mittels htaccess vor allen! Zugriffen von aussen geschützt ist.

<Files "*.*">
Deny from all
</Files>

Damit kann dann zwar jemand eine bösartige Datei hochladen, aber sie auf dem Server nicht ausführen.
Deine Skripte können dabei trotzdem immer noch auf diesen Ordner Zugreifen.
Dann musst du den Dateinamen unschädlich machen. Entweder die Datei komplett umbenennen oder aber mit regulären Ausdrücken bearbeiten. Dazu würde ich den Upload nur von angemeldeten Usern zulassen und die UserID vor den Dateinamen setzen. So wird verhindert, das ein User Dateien eines anderen Users absichtlich oder versehentlich überschreibt.

Für die Checkbox gibt es die PHP Funktion isset

if(!isset($_POST['check']){
  echo "Kein Upload"
}
else{
  // Upload funktion
}

2. Kommentarfeld:
Wenn der Kommentar in einer Datenbank gespeichert wird, musst du hier natürlich auf SQL Injections achten.
Dazu findest du hier im Forum aber schon eine Menge.
Stichworte: Mysqli und prepared Statements

 

[Dinchen333]

Im Prinzip brauche ich ein Uploadformular, bei dem gleich mehrere Dateien auf einmal ausgewählt werden können (nicht für jede Datei ein Feld), dabei soll ein Kommentarfeld, ein Feld für die Emailadresse und die Checkbox sein.
Die Bilder sollen auf den Webspace hochgeladen werden, bei den Daten aus Kommentar und Email würde es reichen, wenn die in der Benachrichtigungsmail an mich stehen würden.

 

[Dinchen333]

Ich hätte auch kein Problem damit das in die Jobbörse zu stellen und ein bischen was dafür auszugeben aber auch da weiß ich ja nicht, ob das dann sicher ist vor SQL-Injections usw.

 

[ComFreek]

Ich würde vorher explizit erwähnen, dass auf jeden Fall auf Angriffsvektoren wie SQL-Injections geachtet werden soll.
Ansonsten würde ich bei so einem kleinen Skript nicht unbedingt im Voraus berechnen lassen, somit könntest du es von jemand anderem überprüfen lassen. Ich oder andere könnte sicherlich schnell drüberschauen.

Brauchst du wirklich nur eine rudimentäre Website + Uploadfeature + Emailfeature? Oder muss das irgendwo integriert werden?