Pic Upload System v0.3 UPDATE!
Door Marc , 20 jaar geleden, 4.860x bekeken
Wat is P.U.S?
P.U.S. (Pic Upload System) is een script waar je gemakkelijk plaatjes kunt uploaden, bekijken en verwijderen.
P.U.S. bestaat nog niet zo heel lang en is dus ook nog niet zo heel erg uitgebreid.
Maar hier ben ik nog mee bezig.
Er is een kleine update van P.U.S. v0.3
Het is nu niet meer mogelijk om plaatjes te uploaden, te bekijken of te verwijderen via de map modules/.
Ook word er gekeken naar de extensie bijvoorbeeld: .jpg .jpeg .png .gif!
En niet alleen naar de mimetype.
hier staan een paar variabelen die je kunt wijzigen in het bestand config.php:
---- $pad
++++++ De map waar de plaatjes komen te staan
---- $max_groote
++++++ De maximale groote van een plaatje
---- $mimetypes
++++++ De toegestaande mimetypes van de geuploade plaatjes
---- $exs
++++++ DE toegestaande extensie van de geuploade plaatjes
Hier de download link:
http://marc.dotbas.net/pus
Voorbeeld: http://marc.dotbas.net/pus/voorbeeld/
Gesponsorde koppelingen
PHP script bestanden
Er zijn 15 reacties op 'Pic upload system v03 update'
0 
-0 
-0
Ik was net op zoek naar een nieuw upload systeem. Thx!
Edit:
Helaas, het werkt niet... welk type plaatje ik ook doe, er komt heeltijd te staan dat het niet het juiste type is, terwijl die wel bij config is aangegeven.
Dingen die je er trouwens wel bij zou kunnen doen:
- Naam opgeven bij uploaden
- Naam veranderen
Helaas, het werkt niet... welk type plaatje ik ook doe, er komt heeltijd te staan dat het niet het juiste type is, terwijl die wel bij config is aangegeven.
Dingen die je er trouwens wel bij zou kunnen doen:
- Naam opgeven bij uploaden
- Naam veranderen
0 -0
-0
Gebruik dit script niet!!
Om te checken of een bestand van het goede type is doe je het volgende:
Daarop kan je niet vertrouwen. Als je een plaatje upload stuur je de volgende headers mee (voorbeeld):
Jij kijkt dus naar die content-type, maar iedere suffert kan het volgende van die headers maken:
En dan heb je een php bestand op je server staan. In dit voorbeeld is het alleen een echo, maar natuurlijk kan je dit verandere naar code die server helemaal overneemt.
Ook ben je niet goed in je foutafhandeling.
Gebruik dit script dus niet!
Om te checken of een bestand van het goede type is doe je het volgende:
Code (php)
Daarop kan je niet vertrouwen. Als je een plaatje upload stuur je de volgende headers mee (voorbeeld):
Code (php)
1
2
2
Content-Disposition: form-data; name="bestand"; filename="test.jpg"
Content-Type: image/jpeg
Content-Type: image/jpeg
Jij kijkt dus naar die content-type, maar iedere suffert kan het volgende van die headers maken:
Code (php)
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8
Content-Disposition: form-data; name="bestand"; filename="echo.php"
Content-Type: image/jpeg
<?php
echo "Hallo, ik ben geupload.";
?>
Content-Type: image/jpeg
<?php
echo "Hallo, ik ben geupload.";
?>
En dan heb je een php bestand op je server staan. In dit voorbeeld is het alleen een echo, maar natuurlijk kan je dit verandere naar code die server helemaal overneemt.
Ook ben je niet goed in je foutafhandeling.
Gebruik dit script dus niet!
0 -0
-0
Dit schept dus roet in het eten ... maar goed dat ik het nog op de test server heb staan :P
0 -0
-0
Nou Jeej, leuk schreeuwen, hoe moet het dan wel? Daarbij, als je zorgt dat je bestand geen .php extensie heeft, dan zal apache niet bijzonder veel executen, dus het gevaar is nog beperkt.
0 -0
-0
Quote:
Nou Jeej, leuk schreeuwen, hoe moet het dan wel? Daarbij, als je zorgt dat je bestand geen .php extensie heeft, dan zal apache niet bijzonder veel executen, dus het gevaar is nog beperkt.
Op dit moment kan de hacker alle soorten bestanden die hij wilt uploaden naar de server. Ik denk dus niet dat het gevaar nog beperkt is.
Hoe het wel moet? Nou, dank kijk je op php.net, en zie je dus bij de comments staan dat het inderdaad voor problemen kan zorgen. Ook vind je het antwoord wat je moet doen. (En als je het niet kan vinden het is deze comment).
Ook kan je op extentie controleren.
(Ik schreeuw dus omdat dit dus wel gevaarlijk is.)
0 -0
-0
jeej:
Ook ben je niet goed in je foutafhandeling.
Ja hallo je moet dat bestand wel in de index.php laden
vind je het gek dat je die error's krijgt.
En hoe wou jij die headers sturen in een php bestand als je het upload word het NIET uitgevoerd dus kan je ook geen headers versturen!
Of wel nou laat dat maar eens duidelijk zien.
zodat ik mijn script kan verbeteren
0 -0
-0
Quote:
Ja hallo je moet dat bestand wel in de index.php laden
vind je het gek dat je die error's krijgt.
vind je het gek dat je die error's krijgt.
Das foutafhandeling. Je moet dus een melding geven dat die niet zo benaderd mag worden.
Quote:
En hoe wou jij die headers sturen in een php bestand als je het upload word het NIET uitgevoerd dus kan je ook geen headers versturen!
Lees dat stukje over headers nog eens opnieuw ;-). Ik doe helemaal niks met php, ik doe wat met de browser.
Quote:
Of wel nou laat dat maar eens duidelijk zien.
zodat ik mijn script kan verbeteren
zodat ik mijn script kan verbeteren
De betreffende comment waarin staat hoe je het moet verbeteren heb ik al gegeven.
Edit: Ik heb effe een filmpje gemaakt, geen tekst er bij o.i.d. maar je kunt het wel goed zien (volgens mij).
0 -0
-0
Mooi bedankt voor dat filmpje en voor de moeite dat je er voor nam.
Nu snap ik ook waar je het over hebt en ben ik wat meer thuis over de beveiliging rond om php.
thx!
EDIT:
Ik gebruik live headers nu ook.
En als het goed is is die fout verwijderd want P.U.S. kijkt nu ook naar .ex.
Nu moet hij toch wel aardig veilig zijn:p
Nu snap ik ook waar je het over hebt en ben ik wat meer thuis over de beveiliging rond om php.
thx!
EDIT:
Ik gebruik live headers nu ook.
En als het goed is is die fout verwijderd want P.U.S. kijkt nu ook naar .ex.
Nu moet hij toch wel aardig veilig zijn:p
0 -0
-0
Dat ding die ik gebruikte heet trouwens Live HTTP Headers (is een extention voor firefox), in sommige gevallen kan je beter Tamper Data gebruiken (alweer voor firefox).
Jammer genoeg is dit dus een veel voorkomen de fout...
Jammer genoeg is dit dus een veel voorkomen de fout...
0 -0
-0
als je commentaar vraagt, kan je er krijgen :p
mogelijkheid bij het uploaden een 'naam' voor de pic te kunnen ingeven en reeds geuploade pics kunnen hernoemen ?
mogelijkheid om bij een geuploade pic, een plaatje uit te knippen ? (crop)
mogelijkheid om de size's van de geuploade pics te weten + datum van upload , eventueel url weergave van de foto ?
mogelijkheid tot een multi upload ?
..
enz
mogelijkheid bij het uploaden een 'naam' voor de pic te kunnen ingeven en reeds geuploade pics kunnen hernoemen ?
mogelijkheid om bij een geuploade pic, een plaatje uit te knippen ? (crop)
mogelijkheid om de size's van de geuploade pics te weten + datum van upload , eventueel url weergave van de foto ?
mogelijkheid tot een multi upload ?
..
enz
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu