Jak wiadomo do pdf'a można przykleić dużo różnego rodzaju świństwa. Jakie więc powinno się powziąć środki bezpieczeństwa, żeby nieznany użytkownik nie uszkodził strony poprzez wgranie takiego pliku?
Sama walidacja rozszerzenia, czy mime-type nie wystarcza. Ma być bezpiecznie. Tak sobie myślałem, że może są w ogóle jakieś możliwości konfiguracji IIS ( bo takiego webserwera używam), żeby już na tym etapie jakoś przefiltrować/skanować zawartość dokumentu.
O ile jest mnóstwo postów na forum o tym jak w PHP tworzyć pdf-y to jednak o kwestii bezpieczeństwa przy uploadzie wiele nie znalazłem.
2
0
nie rozumiem - nawet jak Ci ktoś skrypt z format c załaduje, to żeby zadziałał należy go uruchomić - masz zamiar po kolei uruchamiać na serwerze każdy wgrany plik?
0
abrakadaber napisał(a):
nie rozumiem - nawet jak Ci ktoś skrypt z format c załaduje, to żeby zadziałał należy go uruchomić - masz zamiar po kolei uruchamiać na serwerze każdy wgrany plik?
Nawet jeśli kod nie wykona się automatycznie przy samym przesyłaniu pliku, to i tak przecież po to jest możliwość ich wgrywania by potem np, przejrzeć ich zawartość czyli de facto wykonać kod.
2
no to zainstaluj na serwerze antywira i niech sprawdza i ew. usuwa trefne pliki
0
otwieraj pliki za pomocą binarysafe functions :) nie uruchamiaj ich tylko wczytuj je i wyswietlaj użytkownikowi z opdowiednim nagłówkiem :)