Nechto
28.06.2009 - 12:47
Здравствуйте уважаемая аудитория.
Хочу узнать ваше мнение по данному скрипту. Безопасен ли он!
| HTML |
<form action="info.php" name="uploadForm" method="post" target="hiddenframe" enctype="multipart/form-data"
onsubmit="document.getElementById('res').innerHTML=''; document.getElementById('loading').style.display='block';
return true;">
<input type="file" name="userfile" />
<input type="submit" value="Загрузить" />
</form>
<div id="res" style="margin: 1em 0"></div>
<div id="loading" style="display:none; position: absolute; z-index: 99; left: 45%; top: 45%;">
<img src="wait.gif" border="0" /> Идет загрузка...
</div>
<iframe id="hiddenframe" name="hiddenframe" style="width:0; height:0; border:0"></iframe>
|
| PHP |
<?php
$adress="Z:/home/localhost/www/exp_1/";
if (move_uploaded_file($_FILES["userfile"]['tmp_name'], $adress.$_FILES["userfile"]["name"])){
echo '<script type="text/javascript">';
echo 'window.parent.document.getElementById("loading").innerHTML="";';
echo 'window.parent.document.getElementById("res").innerHTML="Файл успешно загружен";';
echo '</script>';
}
|
Как вы уже поняли это отпрака файла на сервер без перезагрузки страницы.
Жду вашу критику.
Спустя 1 час, 21 минута, 49 секунд (28.06.2009 - 13:09) FatCat написал(а):
| Цитата (Nechto @ 28.06.2009 - 12:47) |
| Безопасен ли он |
Что мешает хакеру загрузить php-файл к Вам на хост, а затем запустить его у себя в браузере?
Спустя 1 час, 8 минут, 7 секунд (28.06.2009 - 14:17) Nechto написал(а):
Нужно сделать проверку расширения файла. Это раз.
Ещё какие недачёты?
Спустя 18 минут (28.06.2009 - 14:35) glock18 написал(а):
ну а ты сам подумай. размер... тип, может... еще что-то.