Seguridad para mi upload!!

eminem24 · #1 (**permalink**) 11/12/2009, 16:36

Hola a todos, acabo de probar un upload que explicaban en un foro sobre estas cosas. Todo va correcto y hace lo que yo quiero, que es decirme la url del archivo en cuestión para que el usuario pueda descargarlo o acceder a el(porque será de música). Pero me gustaría que sólo se pudieran enviar archivos mp3 y con un tamaño máximo. Y también añadir una barra de proceso para que el usuario sepa cuanto queda.

Pero sobre todo querría saber si es totalmente seguro para código malicioso o lo que sea. En la carpeta de descargas tengo permisos 766, ¿es correcto así?

El upload consta de 3 archivos y no usa base de datos.

El primero es un .htaccess que va en la carpeta de descargas:

Código:

<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
</Files>

El segundo es el archivo upload.php

Código PHP:

  <?php

if($_POST){

copy($HTTP_POST_FILES['archivo']['tmp_name'], "./musica/".$HTTP_POST_FILES['archivo']['name']);

echo "Archivo subido correctamente";

echo "<br>";

echo "Link de descarga : http://www.miweb.com/track.php?link=".$HTTP_POST_FILES['archivo']['name'];

}else{

$MIPATH = getcwd();

$NOMBRE = str_replace($MIPATH."/", "", __FILE__);

echo "<form action='".$NOMBRE."' method='post' enctype='multipart/form-data' name=¡form1'>";

 
echo "<p align='center'>Archivo:";

echo "<input name='archivo' type='file' id='archivo'>";

echo "</p>";

echo "<p align='center'><input name='boton' type='submit' id='boton' value='Enviar tema'></p>";

echo "</form>";

}

?>

Y el tercero track.php:

Código PHP:

  <?php

$doc=$_GET["link"];

$MIPATH = getcwd();

 

if ($doc != NULL ) {

$trozos = explode("../", $doc);

if ($trozos[0] == $doc) {

if (file_exists($MIPATH."/musica/".$doc)) {

header('Content-Type:application/octet-stream');

 

header('Content-Disposition:attachment; filename="'.$doc.'"');

 

readfile($MIPATH."/musica/".$doc);

} else {

echo strip_tags("El archivo $doc no existe o no se encuentra en la carpeta de música.");

}

} else {

echo "Detectado LFI.";

}

} else {

echo "No se ha ingresado un archivo para descargar";

} 

 

?>

Haber si alguien puede ayudarme con esto, gracias anticipadas! un saludo!

eminem24 · #2 (**permalink**) 12/12/2009, 18:55

Por favor una ayudita!!!

reimonfranco · #3 (**permalink**) 12/12/2009, 21:03

mas o menos te entendi.
busca un script que te compruebe que extensiones de archivo se suben

saludos

Vitesse92 · #4 (**permalink**) 12/12/2009, 21:07

solo tienes que agregar condicionales, busca en las FAQ's del foto,creo que ahi estan, y el peso del archivo...
Con lo de codigo malicioso, pues con le comprobante de la extencion sabras que no es un archivo de texto que se pueda ejecutar desde el servidor...
(:
Eso es lo que yo manejo de los Uploads...

jackson666 · #5 (**permalink**) 12/12/2009, 21:12

Vamos de a partes, para validar la extension pdes usar expresiones regulares, por ejemplo

Código PHP:

  function validate($string){
   if(preg_match('\b.mp3\b/i',$string)){
        return true;
   }else{
        return false;
   }
}

Para validar el peso del archivo usas filesize(), asi:

Código PHP:

  function getWeight($file){

    #10 Mb
    if(filesize($file)<(10*1024*1024)){
        return true;
    }else{
        return false;
    }
}

Es mas, mas que preg_match tal vez podrias usar:

Código PHP:

  
function validate($string){
    if(substr($string,-4,strlen($string))=='.mp3'){
        return true;
    }else{
        return false;
    }
}

Para obligar que las ultimas 4 letras correspondan a la expresion =P

eminem24 · #6 (**permalink**) 12/12/2009, 23:13

Muchísimas gracias a todos por las respuestas!

Probaré de añadir el código que me comentas jackson666. Si me funciona bien postearé el código completo para quien lo quiera implementar en su web.

Por cierto, me preocupa si es o no seguro todo el código y si podrían subirme algo malicioso. Lo de los permisos de la carpeta de descargas es correcto con permisos 766 o debería ser 744?

Gracias de nuevo amigos, un saludo!!

eminem24 · #7 (**permalink**) 17/12/2009, 12:14

He probado de agregar esos códigos jackson666 y no me funciona. Está claro que algo hago mal(porque soy muy malo con php). En realidad no se ni en que archivo lo tengo que colocar.

Yo he probado de añadirlo al archivo "track" de esta manera:

Código PHP:

  <?php

function validate($string){

    if(substr($string,-4,strlen($string))=='.mp3'){

        return true;

    }else{

        return false;

    }

}

 
function getWeight($file){

 
    #10 Mb

    if(filesize($file)<(10*1024*1024)){

        return true;

    }else{

        return false;

    }

}

 
$doc=$_GET["link"];

$MIPATH = getcwd();

 

if ($doc != NULL ) {

$trozos = explode("../", $doc);

if ($trozos[0] == $doc) {

if (file_exists($MIPATH."/musica/".$doc)) {

header('Content-Type:application/octet-stream');

 

header('Content-Disposition:attachment; filename="'.$doc.'"');

 

readfile($MIPATH."/musica/".$doc);

} else {

echo strip_tags("El archivo $doc no existe o no se encuentra en la carpeta de música.");

}

} else {

echo "Detectado LFI.";

}

} else {

echo "No se ha ingresado un archivo para descargar";

} 

 

?>

Pero no me dice nada y se pueden subir archivos de cualquier formato. Por favor ayudilla, ya me falta poco para tenerlo!