Ostatnio założyłem upload, skrypt wziąłem z forum (ten na końcu, od daroo) i ktoś przeprowadził atak hakerski wysyłając pliki costam.php, costam2.js i costam2.js" (jakoś tak, po usunięciu znowu działa). Dodałem niby-zabezpieczenie:
$sp = explode(".",$_FILES['Plik][‘name’]);
if($sp[1] != “php” and $sp[1] != “html” and $sp[1] != “js”) {//instrukcje upload’u} else echo(“Plik niepoprawny”);
Myślę, że to nie rozwiązuje mojego problemu. Może mi ktoś pomóc, żeby ustrzec się przed kolejnym atakiem?
myślę, że jeżeli już podążasz w tym kierunku, to filtrujesz w złą stronę, powinieneś był stworzyć tablicę poprawnych rozszerzeń i przepuszczać tylko te pliki których rozszerzenia się zgadzają
chociaż lepsze było by chyba sprawdzenie odpowiedniego MIME TYPE danego pliku i przepuszczanie tylko tych prawidłowych: