Ver Mensaje Individual
  #15 (permalink)  
Antiguo 27/02/2012, 17:09
glassverd
 
Fecha de Ingreso: enero-2012
Mensajes: 25
Antigüedad: 12 años, 11 meses
Puntos: 1
Respuesta: Vulnerabilidad de mi UPLOAD

@Bray

Mi página web no tiene sistema de usuario, almacena la imagen en la carpeta por ID...

Al parecer el problema está aqui

Cita:
if (move_uploaded_file($_FILES['upfile']['tmp_name'], "images/uploads/$imagename")) {

chmod("images/uploads/$imagename", 0777);

mysql_query("UPDATE Models SET Thumbnail='$imagename' WHERE ID='$id'");
Con el chin de experiencia que tengo, puedo imaginarme que donde dice
Cita:
chmod ("images/uploads/$imagename", 0777);
otorga permisos 777 lo que tendría que hacer sería 0644 que es que solo el propietario puede escribir, nadie ejecutar y todos pueden ver... asi no se ejecuta el código php ingresado como supuesta imagen...

¿Que tal la idea?.