АГ
3. если хочешь помощи нахаляву, прикидывайся тянкой. бгг
+
Size: a a a
2020 November 18
AP
1. когда грузишь файлы в папку, надо фильтровать имя. первое правило проверки имён - используй только белый список. например имя пользователя
если файл грузит пользователь и имя не важно, то его надо выкинуть на помойку и делать новое самому, ну либо по жести фильтровать и смотреть что такого уже нет.
расширение можно вытащить из имени или "магическим способом" определить самому. белый список миме-типов:
помни, пользователь в файл может понаписать что угодно, первым делом он загрузит файл с именем
2. ради бога, изучи как надо правильно использовать prepared statements. За
^[a-zA-Z0-9_-]{3,30}$ - хватит им этих символов.если файл грузит пользователь и имя не важно, то его надо выкинуть на помойку и делать новое самому, ну либо по жести фильтровать и смотреть что такого уже нет.
расширение можно вытащить из имени или "магическим способом" определить самому. белый список миме-типов:
image/jpeg image/png image/gif, по ним сохраняешь файл как .jpg/png/gif остальные - ошибка, загрузите нормальную картинку. и на размер пикчи тоже ограничение надо.помни, пользователь в файл может понаписать что угодно, первым делом он загрузит файл с именем
1.php и сломает тебе нахрен всё.2. ради бога, изучи как надо правильно использовать prepared statements. За
"... '$path' ..." в sql-запросе тебе надо "неуд" поставить.Через мд5
2020 November 19
АГ
accept="image/jpeg, image/jpg" а вот разве этот атрибут не защитит от отправки php файлов и прочей ерунды?
это же типа фильтр, будет выбор картинок и "все файлы" останутся
АГ
она полезна, но не достаточна
K
это же типа фильтр, будет выбор картинок и "все файлы" останутся
Устанавливает фильтр на типы файлов, которые вы можете отправить через поле загрузки файлов. Тип файла указывается как MIME-тип, при нескольких значениях они перечисляются через запятую. Если файл не подходит под установленный фильтр, он не показывается в окне выбора файлов.
a
абсолютно любая?
нет
она должна быть чтобы пользователь не утруждал себя отправкой формы чтобы понять что он отправил что-то не то
но если на фронте ты что-то лишнее пропустил то пофигу вообще.
а вот на сервере должна быть та же проверка, но 100% правильная и идеальная. что-то не то пропустил - хакер туда потенциально впихнул xss, sql injection, огромный файл, спам-ссылку, цп и т.п.
она должна быть чтобы пользователь не утруждал себя отправкой формы чтобы понять что он отправил что-то не то
но если на фронте ты что-то лишнее пропустил то пофигу вообще.
а вот на сервере должна быть та же проверка, но 100% правильная и идеальная. что-то не то пропустил - хакер туда потенциально впихнул xss, sql injection, огромный файл, спам-ссылку, цп и т.п.
АГ
Устанавливает фильтр на типы файлов, которые вы можете отправить через поле загрузки файлов. Тип файла указывается как MIME-тип, при нескольких значениях они перечисляются через запятую. Если файл не подходит под установленный фильтр, он не показывается в окне выбора файлов.
попробуй, поставь. у тебя будут картинки и "все файлы" в диалоге выбора файла