Inseguridad con permisos???

Grothias · #1 (**permalink**) 10/04/2007, 03:42

Buenas.

Tengo una pequeña, pero grande duda.

Cuando asigno mediante php un permiso a un directorio, por ejemplo:

Código PHP:

  chmod('directorio', 0777);

Ahora bien, ¿quién puede eliminar ese archivo?

Si asigno un permiso total sobre el directorio, cualquier persona podría crear un script para eliminar archivos de ese directorio, ¿me equivoco?

La idea es, que sólo pueda eliminar el archivo la persona que lo haya solicitado mediante mi sitio web.

Resumiento el caso, intento que el usuario elimine su foto, pero que sólamente pueda hacerlo desde el formulario para eliminarlo.

Código PHP:

  chmod('../fotos', 0777 );

unlink("../fotos/$nombre_archivo");

Este script lo tengo en la consulta a la BD donde se elimina el registro de la imagen.

¿Alguna ayuda?

jerkan · #2 (**permalink**) 10/04/2007, 04:23

Nadie va a eliminar archivos de tu servidor si no es accediendo a través de ftp o ejecutando algún código que lo haga.

Grothias · #3 (**permalink**) 10/04/2007, 04:26

Sé que esto no serviría, pero imagina un hacker que supiera hacer que algo así funcionase.

Código PHP:

  chmod('213.201.4.84/images/promo_01.gif', 0777);

unlink("213.201.4.84/images/promo_01.gif");

¿Entiendes ahora mi pregunta?

Me imagino que chmod y unlink sólamente trabaja a nivel local de máquina, es decir, solamente puedes usar esas funciones para eliminar, escribir y trastear con archivos dentro de la máquina donde se encuentre el script php, ¿estoy en lo cierto?

Si es así, creo que la duda está mas que resuelta.

Un saludo!

jerkan · #4 (**permalink**) 10/04/2007, 07:19

Sólo con buscar un poco (documentación oficial) habrías visto que la función chmod no funciona con ficheros remotos.

Un saludo