Sicherer Upload mit PHP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sicherer Upload mit PHP

    Habe hier ein aüßerst nützliches How-To gefunden..

    Quelle thegeek.de/blog/type/archiv/post/200501.html
    Autor: Marc Schieferdecker

    Wenn die Benutzer einer Webseite die Möglichkeit haben selbst etwas hochzuladen, z.B. einen Screenshot, eine PDF-Datei, oder sonstige Dateien, sollte unbedingt beachtet werden, dass die Benutzer nicht jeden Dateityp hochladen können.

    Schließlich wäre es äußerst doof, wenn ein böser Benutzer auf die Idee kommt, statt "avatar.jpg" die Datei "deleteall.php", oder "emailallfilez.php" hochzuladen. Ich denke es ist klar was gemeint ist, oder? User-Uploads dürfen nur eingeschränkt möglich sein, sonst ist der ganze Server nicht mehr sicher.

    Da der Webserver an der Endung einer Datei erkennt, wie die Datei verarbeitet werden soll, hier eine einfach Klasse, welche den Dateityp anhand der Endung ermittelt und untersucht, ob die Datei zu den erlaubten Endungen passt oder nicht.

    Quellcode

    1. <?php
    2. // Klasse zur Prüfung von Dateitypen
    3. class check_filetype
    4. {
    5. var $allowed_types;
    6. var $result;
    7. var $filename;
    8. var $filetype;
    10. // Konstruktor
    11. function check_filetype( $filename, $allowed_types )
    12. {
    13. // Set defaults
    14. $this -> allowed_types = $allowed_types;
    15. $this -> result = FALSE;
    16. $this -> filename = $filename;
    17. $this -> filetype = "";
    18. }
    20. // Files prüfen, Ergebnis Rückgabe
    21. function check()
    22. {
    23. $filetype_arr = explode( ".", $this -> filename );
    24. $this -> filetype = strtolower( end( $filetype_arr ) );
    25. foreach( $this -> allowed_types AS $type )
    26. {
    27. if( $type == $this -> filetype )
    28. {
    29. $this -> result = TRUE;
    30. break;
    31. }
    32. }
    33. return $this -> result;
    34. }
    35. }
    36. ?>
    Alles anzeigen



    Und so wird die Klasse benutzt (Beispiel: Nur Grafikdateien erlauben):

    Quellcode

    1. <?php
    2. // Objekt erzeugen und Datei prüfen
    3. $checkfile = new check_filetype( $_FILES[ "userupload" ][ "name" ], array( "jpg","png","gif" ) );
    4. if( $checkfile -> check() )
    5. {
    6. print "Datei ist okay! (Endung: {$checkfile->filetype})";
    7. }
    8. else
    9. {
    10. print "Datei ist nicht erlaubt! (Endung: {$checkfile->filetype})";
    11. }
    12. // Speicher wieder freigeben
    13. unset( $checkfile );
    14. ?>
    Alles anzeigen


    Die Funktionsweise der Klasse ist denkbar einfach: Es gibt die Eigenschaften "allowed_type" (array), "filename" (string) und "result" (boolean). Die Methode "check" überprüft die beim Erzeugen des Klassenobjekts übergebenen Werte und gibt das Ergebnis zurück. Außerdem wird die ermittelte Datei-Endung in der Eigenschaft "filetype" gespeichert.

    Ein Code-Schnipsel der hoffentlich hilft die eigene Webseite sauber und sicher zu halten. Viel Spaß damit...

    Wer es nicht objektorientiert mag, für den hier noch eine Funktion, die den selben Zweck erfüllt:

    Quellcode

    1. <?php
    3. // Files prüfen, Ergebnis Rückgabe
    4. function check( $filename, $allowed_types )
    5. {
    6. $result = FALSE;
    7. $filetype_arr = explode( ".", $filename );
    8. $filetype = strtolower( $filetype_arr[ (count( $filetype_arr ) - 1) ] );
    9. foreach( $allowed_types AS $type )
    10. {
    11. if( $type == $filetype )
    12. {
    13. $result = TRUE;
    14. break;
    15. }
    16. }
    17. return $result;
    18. }
    20. // Beispiel Aufruf
    21. $ergebnis = check( $_FILES[ "userupload" ][ "name" ], array( "jpg", "gif", "png" ) );
    23. ?>
    Alles anzeigen