Ver Mensaje Individual
  #20 (permalink)  
Antiguo 27/02/2012, 17:57
glassverd
 
Fecha de Ingreso: enero-2012
Mensajes: 25
Antigüedad: 12 años, 10 meses
Puntos: 1
Respuesta: Vulnerabilidad de mi UPLOAD

Cita:
Iniciado por Nemutagk Ver Mensaje
Te daré una pista, es mas casi casi te lo pondré frente a tu cara (sin ofender >.<)


Que vez de diferente en estos trozos de código...
Código PHP:
Ver original
  1. //Código con problema...
  2.     $mimeType = $_FILES['archivo']['type'];
  3.     $type = substr($mimeType,6);
  4.     $typeFileAcept = array('jpeg','png','gif');
  5.     $error = false;
  6.  
  7.     if (in_array($type, $typeFileAcept)) {
  8.         $size = getimagesize($_FILES['archivo']['tmp_name'],$allInfo);
  9.  
  10.  
  11. //Código funcional!
  12.  if (move_uploaded_file($_FILES['upfile']['tmp_name'], "images/uploads/$imagename")) {
  13.  
  14.             chmod("images/uploads/$imagename", 0777);
Con mi poca experiencia, casi nula, creo que el código de abajo, es el que sigue de arriba... Pero bueno, usted es el experto, a ver... Yo encuentro error es que en $mimetype,6 indica que deben ser 6 tipos y que el array dice que solo son tres: jpeg, png y gif.
Otra que encuentro en el código con problema es que tiene un if, pero no hay else que devuelva el algorítmo y emita un mensaje erróneo...

Algo que me confunde es que dices "que encuentras de diferente" de diferente está todo... pero bueno, hay te dije lo que se.

Eres una buena persona man... eres muy solidario, a pesar de que no se nada, tienes paciencia. Gracias otra vez.

@bray muy buena tu respuesta, tendré que implementar un sistema de localización de IP´s e agregar un código al upload.php que banée la ip que intente hacer estos tipos de fraude... Y ya puedes saber, si tengo un spaguetti (como dice mi queridísimo amigo Nemugtak) con esto, imagínate con eso que me dices... Bueno, nada es imposible para el que se dispone, yo estoy dispuesto a hacer eso y más. Inclusive me apunté en un curso que comienza en Mayo de PHP....