PHP kód skipelés
Tiszteletem!
Egy olyan jellegű kérdésem volna, hogy létezik e bármiféle függvény ami képes meggátolni egy includeolt anyagon belül található php kódok lefutását?
Helyzet a következő:
Van, egy oldalam, melyen .html anyagokat lehet feltölteni, ami a feltöltést követően a rendszer beincludolja egy külön lapon.
A probléma ott kezdődik, hogy egy .html-be bármit belehet rakni, php forrást is ugyebár.
Még ha meg is oldom, hogy csak olyanok végezhessenek ilyen jellegű feltöltést akikben 100%ig megbízunk, ez akkor se megoldás arra, ha az alanyok gépén rosszindulatú programok önkényesen kezdeményeznek feltöltést. (Történt rá precedens, hogy krikszkraksz forrásanyagú dokumentum került fel a szerverre). .htaccess-el védem a feltőltőtt anyagok hozzáférhetőségét, hogy ne lehessen direkt módon futtatni, viszont az includeolás révén gondolom komoly problémák léphetnek fel.
A kérdés tehát, van e bármi függvény ami képes kiszűrni a php kódokat és valamiképp blokkolni, skipelni, etc.
Egyéb biztonsági lépésekkel kapcsolatos ötleteket is szívesen elfogadok :D
Előre is köszönöm!
■ Egy olyan jellegű kérdésem volna, hogy létezik e bármiféle függvény ami képes meggátolni egy includeolt anyagon belül található php kódok lefutását?
Helyzet a következő:
Van, egy oldalam, melyen .html anyagokat lehet feltölteni, ami a feltöltést követően a rendszer beincludolja egy külön lapon.
A probléma ott kezdődik, hogy egy .html-be bármit belehet rakni, php forrást is ugyebár.
Még ha meg is oldom, hogy csak olyanok végezhessenek ilyen jellegű feltöltést akikben 100%ig megbízunk, ez akkor se megoldás arra, ha az alanyok gépén rosszindulatú programok önkényesen kezdeményeznek feltöltést. (Történt rá precedens, hogy krikszkraksz forrásanyagú dokumentum került fel a szerverre). .htaccess-el védem a feltőltőtt anyagok hozzáférhetőségét, hogy ne lehessen direkt módon futtatni, viszont az includeolás révén gondolom komoly problémák léphetnek fel.
A kérdés tehát, van e bármi függvény ami képes kiszűrni a php kódokat és valamiképp blokkolni, skipelni, etc.
Egyéb biztonsági lépésekkel kapcsolatos ötleteket is szívesen elfogadok :D
Előre is köszönöm!
Komplett HTML állományok
A textareas lenne a legjobb
Jó, de ez még nem ok az
Sajnos a szerveren tiltva
Feltöltés
Sendfile
http_send_file
Ugyanakkor nem árt tanulni a GitHub példákából, nem akarsz a kilens által feltöltött JS-t futtatni azon a hoszton, ahol user interakcióra számitasz, mert abból user akciókat szimulálhat egy gonoszabb feltöltő. - Vagyis ezeket a dolgokat egy másodlagos domainnév alá illik kitenni.