Move_uploaded_file vs file_put_contents – PHP – Fórum – Programujte.com

TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Trvalé přihlášení

Zapomněl jsi heslo?

Move_uploaded_file vs file_put_contents – PHP – Fórum – Programujte.com

Rozšířené hledání ›

Nejnovější témata ve fóru

14:46, Python Používáte SQLAlchemy nebo pandas? pymysql

11:30, Funkcionální progr… Promotic

09:34, Software KAPEKA - zadní dvířka do woken

20:43, Hardware Adaptér pro sériové připojení LCD displejů

23:05, Vzdělání Platy softwarářů

22:47, Právo a podnikání Zákon o majitelích firem

Stavba Laser Arény
Laser Game Brno

Fórum › PHP

Move_uploaded_file vs file_put_contents

Facedown 0

Newbie

10. 12. 2015 #1

Ahoj,

chtěl bych se zeptat, jaká rizika plynou při použití tohoto postupu:

file_put_contents(
    $filename,
    file_get_contents($_FILES['soubor']['tmp_name'])
);

Vím, že se má používat move_uploaded_file, ale stále jsem se nikde nedočetl jaké je riziko, pokud ho nepoužiji. Pokud tomu dobře rozumím z php.net, tak move_uploaded_file v sobě již obsahuje is_uploaded_file a kontroluje tak jen, jestli uživatel nějakým způsobem opravdu dal upload souboru. Ale co když to nebyl on? Jaké jsou rizika? Co se může stát?

A ještě jedna otázka - je bezpečné používat řešení následujího typu:

if(is_uploaded_file($_FILES['soubor']['tmp_name'])) {
	file_put_contents(
    	$filename,
    	file_get_contents($_FILES['soubor']['tmp_name'])
    );
}

Děkuji

Nahlásit jako SPAM

IP: 213.220.250.–

Kit+15

Guru

10. 12. 2015 #2

#1 Facedown
Největší riziko spočívá v tom, že útočník místo obrázku nahraje třeba PHP skript a pak si ho spustí s právy majitele webu. Celý web pak má jak na dlani a může si s ním dělat co chce včetně databáze.

Ten druhý skript problém nijak neřeší.

Nahlásit jako SPAM

IP: 2a00:1028:83a0:37a6:207:e...–

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

Facedown 0

Newbie

10. 12. 2015 #3

#2 Kit
Správně řešení by obsahovalo kontrolu typu souboru a ten jsem záměrně vynechal, protože mě zajímají pouze uvedené funkce a rozdíly.

Nahlásit jako SPAM

IP: 213.220.250.–

Facedown 0

Newbie

10. 12. 2015 #4

#2 Kit
Zkrátka a dobře, jaký je rozdíl mezi move_uploaded_file vs použitím is_uploaded_file s kombinací file_put_contents? A dále, co se stane, pokud is_uploaded_file nebo move_uploaded_file nepoužiju, ale soubor přesunu jiným způsobem? Co se může stát? Jaké na to existují vektory útoku? Ohrozí to nějak mou bezpečnost? Nebo to prostě jen slouží k tomu, abych zjistil jestli někdo nahrál soubor a toť vše?

Nahlásit jako SPAM

IP: 213.220.250.–

Kit+15

Guru

10. 12. 2015 #5

Zajímavé

Zobrazit udělené karmy příspěvku od uživatelů

▲

Facedown +

#4 Facedown
Rozdíl poznáš při uploadu většího souboru. Funkce move_uploaded_file() běží mimo pracovní prostor PHP a proto zvládne i třeba film.

Funkce file_put_contents() ukládá string, který se ti však musí vejít do paměti, což bývá v řádu desítek mega. Funkce is_uploaded_file() jen zjišťuje, jestli uvedený soubor byl právě nahrán.

Prostě používej funkci move_uploaded_file(), která je určena pro upload. Bude rychlejší a nebude tolik zatěžovat server, resp. nemusí ho zatížit vůbec, protože je to jen přejmenování souboru v adresáři.

Nahlásit jako SPAM

IP: 2a00:1028:83a0:37a6:207:e...–

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

Facedown 0

Newbie

10. 12. 2015 #6

#5 Kit
To je dobré vědět, děkuju.

Nahlásit jako SPAM

IP: 213.220.250.–

← Zpět na seznam vláken ← Zpět do Fóra