Mailinglisten-Archive |
Einen schönen Sonntag an alle, Ich habe eine Frage zur Sicherheit:. Bisher habe ich ein Formular zum Upload von Dateien gebaut. Aufgeladen werden dürfen Bilddateien, pdf, Word-Dateien, Adobe Illustrator und Adobe InDesign Dateien sowie zip-Dateien. Das Formularfeld ist nur mit Benutzername und Passwort erreichbar. Nach dem Upload prüfe ich jeweils anhand einer Whitelist den mime type. Zusätzlich prüfe ich, ob die Dateiendung zugelassen ist und natürlich, ob schon eine Datei mit gleichem Namen vorhanden ist. Erst dann werden die neu aufgeladenen Dateien endgültig gespeichert und zusammen mit den schon früher aufgeladenen Dateien in einer Liste zum Abrufen ausgegeben, ansonsten gibt es eine Fehlermeldung. Den Dateinamen der neuen Datei übernehme ich vom Benutzer, nachdem ich Leerzeichen entfernt und deutsche Umlaute durch ae, oe u.s.w. sowie das ß durch ss ersetzt habe. Nun die Frage: Haltet Ihr diese Prüfungen für ausreichend oder habe ich wesentliche Sicherheitsaspekte nicht beachtet? Liebe Grüße Armin -- Armin Briatta Fotografie und Webdesign Kirchbergweg 2 64367 Mühltal-Trautheim (0173) 6 54 97 10 www.briatta.de
php::bar PHP Wiki - Listenarchive