Kandu.dk - Upload af .rtf filer?


/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

PHP

#	Navn	Point
1	rfh	3959
2	natmaden	3372
3	poul_from	3310
4	funbreak	2700
5	stone47	2230
6	Jin2k	1960
7	Angband	1743
8	Bjerner	1249
9	refi	1185
10	Interkril..	1146

Upload af .rtf filer?
Fra : Ulrich

Dato : 28-08-02 02:27

Hej

Jeg roder med et upload-system, med et indbygget filtype-tjek, og
scriptet lader kun filer med mime typen application/msword (.doc) og
image/jpg (.jpg) slippe igennem.

Hvordan får jeg lov til at uploade .rtf-filer? Det kan ikke lade sig
gøre med application/msword.

Hedder mime typen for .rtf-filer ikke application/rtf? Det virker heller
ikke.

Hvis ikke filtypen skal tjekkes med fx application/msword, hvordan kan
filtypen da tjekkes, så jeg får lov til at uploade .rtf-filer, men ikke
..php og .js?

Ulrich

Peter Brodersen (28-08-2002)

Kommentar
Fra : Peter Brodersen

Dato : 28-08-02 02:39

On Wed, 28 Aug 2002 03:26:55 +0200, Ulrich
<Ulrich_egholm@mail1.stofanet.dk> wrote:

>Jeg roder med et upload-system, med et indbygget filtype-tjek, og
>scriptet lader kun filer med mime typen application/msword (.doc) og
>image/jpg (.jpg) slippe igennem.

Såfremt at du bruger folks filnavne, så vil jeg anbefale at du blot
nøjes med at tjekke på extension (og allerede nu kan jeg høre råb fra
forargede folk :)

Filers mimetype kan afhænge meget af afsenderens system; et system,
hvor Word ikke er installeret, vil fx ikke nødvendigvis kende en
Word-fil. Dertil kommer, at jpeg-filer kan sendes med, med mange
forskellige mime-typer, fx image/pjpeg.

Hvis brugerens filnavn bruges uden videre, så vil man tillige kunne
snyde fx en PHP-fil ind på systemet, blot ved at sende den rette
mime-type med i den forbindelse (tricky, men kan gøres, hvis man vil).
Og hvis filer ikke isoleres og behandles af et bestemt
download-script, der også husker den oprindelige mime-type, i stedet
for at kunne hentes/requestes direkte, så er der næsten frit spil.

En browser vil sandsynligvis alligevel bedømme mime-type'n ud fra
filnavnet, så mit forslag er altså at nøjes med at tjekke på
extension, og så kun tillade et par enkelte (fx .doc, .rtf, .jpg,
..jpeg).

--
- Peter Brodersen

Ulrich (28-08-2002)

Kommentar
Fra : Ulrich

Dato : 28-08-02 18:54

In article <akh9ir$308$1@dknews.tiscali.dk>, usenet@ter.dk says...
> On Wed, 28 Aug 2002 03:26:55 +0200, Ulrich
> <Ulrich_egholm@mail1.stofanet.dk> wrote:
>

> Hvis brugerens filnavn bruges uden videre, så vil man tillige kunne
> snyde fx en PHP-fil ind på systemet, blot ved at sende den rette
> mime-type med i den forbindelse (tricky, men kan gøres, hvis man vil).
> Og hvis filer ikke isoleres og behandles af et bestemt
> download-script, der også husker den oprindelige mime-type, i stedet
> for at kunne hentes/requestes direkte, så er der næsten frit spil.
>

Jeg vælger at stole på det gode i mennesket Glad

og sorterer efter mime-
type. Jeg fandt ud af, at .rtf mime-typen er text/richtext og det var
alt, jeg behøvede at vide, for at kunne uploade .rtf filer

Men alligevel tak for svaret.

Ulrich

Søg

Reklame

Statistik

Spørgsmål :	177554
Tips :	31968
Nyheder :	719565
Indlæg :	6408852
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste