Webprofis is een Forum waarin je vragen kunt stellen die webgerelateerd zijn. Heb je vragen over of problemen met je Webpagina, HTML, CSS, Javascript, PHP of andere client of serverside scriptingtalen? Stel ze dan gerust op dit forum.
Op dit forum zijn een aantal vrijwilligers actief die u graag met uw vragen willen helpen en u waar mogelijk een passend antwoord aanbieden.
Hebt u zelf veel ervaring en kennis met betrekking tot het bovenstaande? U bent van harte welkom om uw kennis met anderen te delen!
We hopen dat eenieder op dit Forum een leerzame ervaring mag opdoen.
Team Webprofis
We hopen dat eenieder op dit Forum een leerzame ervaring mag opdoen.
Team Webprofis
simple filemanagement systeempje
Login of Registreer om te reageren.
Reacties
Dit staat dus in de foreach loop
Nu nog ff de input beveiligen
Als ik het formulier gewoon aanpas met firebug of e.o.a inspector/editor, haal ik zo je site offline ;-)
huidig:
<input type="hidden" name="old_name" value="<?php echo $dir.'/'.$file; ?>" />
na firebug:
<input type="hidden" name="old_name" value="webprofis.nl" />
// je snapt wel waar ik heen wil..Ook moet je niet alle characters kunnen gebruiken om te renamen, als ik penguin.jpg rename naar /aap/noot/mies/pen_guin.jpg, houd je een onbereikbare file over (pad zal dan fout zijn)
idd, zoals je hierboven beschrijft. Dat kan niet de bedoeling zijn. Ff denken hoe ik dat kan oplossen
$_POST['old_name']
Als je nu dus the value via firebug manipuleert (veranderd) naar een value die buiten je eigen root staat bijv in het ergste geval:<input type="hidden" name="old_name" value="index.php" />
slaat ie op die()Alles wat binnen je binnen je eigen root manipuleert, dus
<input type="hidden" name="old_name" value="uploads/sfm/hash/index.php" />
\kun je wel via inspector manipuleren maar dat is toch je eigen root; hebben anderen geen last van
Ggoed opgemerkt overigens @vinTage want ik had daar helemaal niet bij nagedacht dat je idd via de inspector de old_name kunt wijzigen
Zover als ik begrijp maakt md5 altijd dezelfde hash van getal 1, en ook altijd dezelfde hash van getal 2 enz.
Maw: als je de UserID weet van je medemember, zou je erachter kunnen komen welke hash je medemember heeft.
Nu is de url wel beveiligd tegen andere hashes maar toch...
userID+date() bijvoorbeeld
Zowel Delete als Extract voer ik uit met een GET Onderaan stel ik bij beiden opnieuw het pad in anders gaat ie terug naar de rootmap; want de $dir wordt uitgelezen via de url en de url staat dus op
sfm?delete=.....
ofsfm?extract=....
Het vervelende is nu natuurlijk dat als ik een besatnd verwijderd heb hetzelfde bestand direct erna niet kan uploaden omdat de delete van die file nog in de url staat; maw hij gooit hem er oook direct weer uit. Hoe zou ik dat kunnen oplossen zonder dat ik eerst weer op een andere map moet klikken of watdan ook?
hier kun je dan aangeven wat hij doet en wat hij niet doet.
Het probleem is dat hij bv een bestand verwijderd dmv de url, als je dus op "die" url zit, kan hij geen file uploaden met "die" naam.
Nuet,
je kan ook een header refresh gebruiken, dan kun je wel iets echoën en wordt je vanzelf omgeleid na X tijd, naar X url.
get
post
te gebruiken: En dit de form: En dit om te stylen omdat the value leeg is: die header location met een delay had idd ook gekund maar dan zit je met het risico dat iemand in die tussentijd iets upload en nog steeds de echo van delete blijft hangen. ja is misschien wat overdreven maar voor mijn gevoel is dit de beste manier