Vraag & Antwoord

Webprogrammeren & scripting

welke soort bestanden uploaden vermijden?

Anoniem
BasHamar
11 antwoorden
  • Op mijn site kan men bestanden uploaden.
    Welke bestanden laat ik best niet uploaden om te verhinderen dat m'n beveiliging een zeef wordt?
  • Als bestanden niet ge-activeerd worden nadat ze zijn geplaatst veranderd er toch niets aan de situatie!?

    Indien wel, dan moet je overwegen om .exe-, .com-, .bat-, .pif-, .php-, .asp-, .htm-, en .html-bestanden te weren… Nog iets vergeten? :wink:

    Greetz!
  • efkes iets meer zeggen over m'n server:
    - Redhad Linux
    - Apache
    - PHP version 4.2.2
    - MySQL 3.23.56
  • Bestanden worden wel geactiveerd…
    Is nodig voor de werking van de site.
  • Volstaat het om bij die bestanden de naam te voorzien van een .txt aanhangsel?

    bij exe en pif niet… maar bij php en htm(l) wel denk ik… Ik sluit graag zo weinig mogelijk uit.
  • ff voor mezelf: Jij hebt dus een FTP- of web-server draaien, waar mensen bestanden kunnen uploaden die automatisch worden gestart op het moment dat ze voltooid zijn!? Dan is het al een gatenkaas!!

    'K ben niet zo heel erg thuis in Linux, maar worden daar de eerste 4 bestands-extenties uberhaupt wel gebruikt…? En laten we wel zijn, als je bestanden een andere extentie wilt geven dan datgene waarvoor ze gemaakt zijn, wat heeft dat automatisch activeren dan voor een nut…!? Dan wordt het verkeerde geactiveerd… Als je bestanden een .txt-extentie meegeeft, en ze worden geactiveerd… Dan krijg je een heleboel bestandjes te zien op het moment dat je je screensaver van KDE ontsluit! :wink:

    Is het niet veel verstandiger om mensen beperkte rechten te geven om te uploaden, en dat jij/zij ze daarna middels SSH de bestanden automatisch activeerd?

    Greetz!
  • dat moet je me dan wel eens uitleggen: wat is SSH?
  • [quote:71440dbc61="Aerypton 2"]dat moet je me dan wel eens uitleggen: wat is SSH?[/quote:71440dbc61]Beveiligde versie van Telnet.
  • De gebruikers hoeven geen rechten te hebben. Maar als mijn uploadscriptje toegang moet hebben tot die map, moet ik die map toch de nodige rechten geven?
  • Je moet gewoon goed uitkijken wat je aan scripts op je site zet. Ze kunnen goed beveiligd zijn, maar ook zo lek als een mandje. Ook niet meer scripts online zetten dan nodig is. En fatsoenlijke wachtwoorden gebruiken. Denk je dat een script onveilig is, kun je deze ook afschermen met .htaccess, zodat ze alleen voor jezelf toegankelijk zijn. Verder kun je heel veel info vinden in de www security faq. Hier heb je deze nog wat meer links:

    http://www.weballey.net/links/Programming/Security/
  • Ja, dat script moet dus de rechten hebben, en niet de users…?

    Tevens, je kan toch alleen lees- en schrijf-rechten geven? Dus niet execute? Misschien iets met een Umask doen?

    //off-topic, Misschien is dit meer iets voor het OS Linux-forum?

    Ik ben zo'n beetje leeg wat dit betreft…

    Greetz!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.