Temat: Jak zabezpieczyć skrypt uploadu i zarządzania plikami?

Hej!

Potrzebuję wykonać dość specyficzny manager plików na potrzeby mojej aplikacji. Piszę to w Yii Framework.

Chodzi o to, że w zależności od używanej funkcjonalności i zalogowanego użytkownika pliki mają trafiać w miejsce ustalone przez aplikację, tak samo z przeglądaniem plików.

Jest wiele gotowych rozwiązań uploader'ów, przeglądarek, ale ciężko dyskretnie przekazać im ową ścieżkę. Przy skryptach PHP otwieranych w nowym oknie przekazanie tego przez $_Session niestety nie działa, natomiast przy wszelkich narzędziach wykorzystujących JavaScript, trzeba podać ścieżkę w skrypcie co stwarza możliwość do ataków.

Myślałem o tym, by wszystko odbywało się poprzez odpowiednią część aplikacji obsługującą upload w sposób taki, że połknie plik do 'temp', a następnie przeniesie go w odpowiednie miejsce zgodne z regułami biznesowymi dla danego zadania. Podobnie przy wyborze obrazków do wstawienia w edytorze(rozważam TinyMCE lub CKEditor) chyba najlepiej przekazywać to przez POST tak by zabezpieczyć się przed dostępem do plików innego użytkownika.

Może ktoś podzieli sie swoimi doświadczeniami w podobnych problemach?

Temat: Jak zabezpieczyć skrypt uploadu i zarządzania plikami?

Marek Urbanowicz:
Przy skryptach PHP otwieranych w nowym oknie przekazanie tego przez $_Session niestety nie działa,

Czemu? Przecież skrypt odpalasz zapewne tej samej domenie więc sesja powinna działać bez problemu.
Pamiętaj tylko o session_start() ;)

ps: też kiedyś korzystałem z zewnętrzenego skryptu. Wydawało mi się to logiczne, że nie muszę pisać nic od nowa. Jednak z czasem okazało się to bez sensu, więcej problemów niż pożytku i wkońcu skrobnąłem coś własnego na szybko dopasowanego do reszty serwisu i korzystającego z jednolitych mechanizmówRobert Nodzewski edytował(a) ten post dnia 21.04.11 o godzinie 12:13

Temat: Jak zabezpieczyć skrypt uploadu i zarządzania plikami?

no widzisz, powinna działać ale nie działa, wyskakuje że $_SESSION jest niezdefiniowana.. nie mam pojęcia o co chodzi właśnie...

Temat: Jak zabezpieczyć skrypt uploadu i zarządzania plikami?

Marek Urbanowicz:
Jest wiele gotowych rozwiązań uploader'ów, przeglądarek, ale ciężko dyskretnie przekazać im ową ścieżkę. Przy skryptach PHP otwieranych w nowym oknie przekazanie tego przez $_Session niestety nie działa, natomiast przy wszelkich narzędziach wykorzystujących JavaScript, trzeba podać ścieżkę w skrypcie co stwarza możliwość do ataków.

Jeżeli używasz uploader'a z elementem flash'owym to tak będzie. Sewer dla flasha odpali sesję z nowym tokenem.

Musisz wraz z uploadem przekazać token sesji na której śmigają panele i uruchomić sesję w skryptach dla flash'a z tymże przekazanym tokenem.Peter K. edytował(a) ten post dnia 21.04.11 o godzinie 14:02