Foros del Web » Programando para Internet » PHP »

Seguridad en upload de archivo

Estas en el tema de Seguridad en upload de archivo en el foro de PHP en Foros del Web. Hola, Tengo una inquietud sobre seguridad: Quiero que desde una pagina se pueda subir cualquier archivo al servidor, siempre que sea seguro. Alguien que sepa ...
  #1 (permalink)  
Antiguo 25/02/2008, 10:58
Avatar de geq
geq
 
Fecha de Ingreso: agosto-2006
Ubicación: Rosario
Mensajes: 655
Antigüedad: 18 años, 3 meses
Puntos: 22
Pregunta Seguridad en upload de archivo

Hola,
Tengo una inquietud sobre seguridad:

Quiero que desde una pagina se pueda subir cualquier archivo al servidor, siempre que sea seguro.
Alguien que sepa donde se guardan los archivos podría subir un php y mediante el navegador hacer lo que mas le guste de mi servidor; asi que .php no se deben admitir. Ahora, ¿es eso suficiente? ¿Hay más extensiones peligrosas? o me recomiendan mejor restringir las extensiones admitidas a, por ejemplo, .doc .zip .rar .txt, algo así, en lugar de no admitir las consideradas peligrosas.

Me imagino que debo guiarme por la extensión y no por el tipo de archivo porque no siempre es correcto, ya que si alguien estuviera realmente preocupado por hackear mi site podria indicarle al servidor que es otro tipo de archivo.

Muchas gracias,
saludos
  #2 (permalink)  
Antiguo 25/02/2008, 11:59
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Re: Seguridad en upload de archivo

Para ver el tipo de archivo ve la extensión y el mime que te envía el navegador:
Código PHP:
$_FILES['tuarchivo']['type'];
// y
$_FILES['tuarchivo']['name']; 
Ahora como segunda recomendación, siempre que suban archivos, ponlos en una carpeta que no sea leible desde web, es decir si tu sitio es así:
Código:
/home/tuuser/public_html/miscriptupload.php
Subelos a una carpeta arriba:
Código:
/home/tuuser/uploads/
Así no son leíbles vía web, y tu ya luego te encargas de servirlos via un script PHP.

Saludos.
  #3 (permalink)  
Antiguo 25/02/2008, 12:04
Avatar de geq
geq
 
Fecha de Ingreso: agosto-2006
Ubicación: Rosario
Mensajes: 655
Antigüedad: 18 años, 3 meses
Puntos: 22
Re: Seguridad en upload de archivo

Ah, perfecto, muchas gracias.

--edit
Lastima que mi hosting no permite a php escribir fuera del directorio web..
--

Éxitos.

Última edición por geq; 25/02/2008 a las 12:12
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:10.