Foros del Web » Programando para Internet » PHP »

Esto realmente es seguro?

 Estas en el tema de Esto realmente es seguro? en el foro de PHP en Foros del Web. Hola buenas, pues acabo de terminar una pequeña función para mi website que se trata de hacer un 'screenshot', realmente funciona perfectamente, no se si ...
  #1 (permalink)  
Antiguo 11/06/2016, 09:29
 
Fecha de Ingreso: diciembre-2012
Ubicación: Murcia
Mensajes: 329
Antigüedad: 11 años, 11 meses
Puntos: 4
Esto realmente es seguro?
Hola buenas, pues acabo de terminar una pequeña función para mi website que se trata de hacer un 'screenshot', realmente funciona perfectamente, no se si así es la mejor forma de hacerlo o directamente necesita algún tipo mas de verificación

Código PHP:

if(isset($_REQUEST['no']) AND (isset($_REQUEST['data']))){
    $upload_dir "ss/";
    $img $_REQUEST['data'];
    $img str_replace('data:image/jpeg;base64,'''$img);
    $img str_replace(' ''+'$img);
    $data base64_decode($img);
    
    //var_dump($data);
    $file $upload_dir.$_REQUEST['no'].".jpg";

    file_put_contents($file$data);
}else{die('Error');} 
Gracias y un saludo.
  #2 (permalink)  
Antiguo 13/06/2016, 05:45
Avatar de Eleazan  
Fecha de Ingreso: abril-2008
Ubicación: Ibiza
Mensajes: 1.879
Antigüedad: 16 años, 7 meses
Puntos: 326
Respuesta: Esto realmente es seguro?
No........

Código PHP:
 $file $upload_dir.$_REQUEST['no'].".jpg"
Por ejemplo... ¿Q hay en 'no'? Imagina, que me da a mi por enviar una imagen en data, y meto en no algo así como '../images/logo'

¿Qué pasaria? ;)

Y que escribas en un fichero, algo procedente de un request... pues, a mi, personalmente, no me hace gracia. No sé si podrían hacer algún tipo de code injection pero me aseguraría bien de que el contenido fuera el esperado ;)
__________________
>> Eleazan's Source
>> @Eleazan
  #3 (permalink)  
Antiguo 13/06/2016, 07:04
 
Fecha de Ingreso: diciembre-2012
Ubicación: Murcia
Mensajes: 329
Antigüedad: 11 años, 11 meses
Puntos: 4
Respuesta: Esto realmente es seguro?
Cita:
Iniciado por Eleazan Ver Mensaje
No........

Código PHP:
 $file $upload_dir.$_REQUEST['no'].".jpg"
Por ejemplo... ¿Q hay en 'no'? Imagina, que me da a mi por enviar una imagen en data, y meto en no algo así como '../images/logo'

¿Qué pasaria? ;)

Y que escribas en un fichero, algo procedente de un request... pues, a mi, personalmente, no me hace gracia. No sé si podrían hacer algún tipo de code injection pero me aseguraría bien de que el contenido fuera el esperado ;)
Gracias por comentar, he realizado una seria de cambios, pero no se si se hará falta mas clase de 'filtros'

Código PHP:
if(isset($_POST['no']) AND (isset($_POST['data']))){
    
    $upload_dir "ss/";
    $img $_REQUEST['data'];
    $img str_replace('data:image/jpeg;base64,'''$img);
    $img str_replace(' ''+'$img);
    $data base64_decode($img);
    
    $file $upload_dir.$_REQUEST['no'].".jpg";
    $is_image imagecreatefromstring($data);
    
    if ($is_image != false) {
        file_put_contents($file$data);
    } else {
        die('Error');
    }
    
    file_put_contents($file$data);
}else{die('Error');} 
  #4 (permalink)  
Antiguo 16/06/2016, 03:05
 
Fecha de Ingreso: diciembre-2012
Ubicación: Murcia
Mensajes: 329
Antigüedad: 11 años, 11 meses
Puntos: 4
Respuesta: Esto realmente es seguro?
Alguna ayuda?=

Etiquetas: realmente
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 14:52.