[ Príspevkov: 15 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 07.08.06
Prihlásený: 05.12.17
Príspevky: 919
Témy: 259 | 259
Bydlisko: Levice
NapísalOffline : 20.07.2009 17:28 | kontrola ci je subor xml

mam klasicky upload suboru
Kód:
<input type="file" size="20" name="xml1" />
chcel by som zamedzit tomu aby sa dali uploadnut ine typy suborov ako xml.

Pri uploade obrazkov som to riesil takto
Kód:
if (is_uploaded_file($_FILES['foto']['tmp_name']))
{list($width, $height, $type) = getimagesize($_FILES['foto']['tmp_name']);
if ($type != IMAGETYPE_JPEG){$err= 'Obrázok musí byť vo formáte JPG alebo JPEG';}


ale ako to pouzit pre xml?


Offline

Čestný člen
Čestný člen
kontrola ci je subor xml

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 20.07.2009 17:35 | kontrola ci je subor xml

XML subory maju MIME typ application/xml alebo text/xml, ako XML su rozoberane vlastne aj vsetky subory s MIME */*+xml, teda napr. application/xhtml+xml, image/svg+xml, application/xslt+xml, application/rss+xml a nejake dalsie.
Testovanie MIME typu ale nedoporucujem. Ak si budes vytahovat tuto informaciu z $_FILES['xml1']['type'], mas tam bezpecnostnu dieru. Tato informacia je totiz posielana klientom a ktokolvek sikovnejsi ju vie zmenit, a pri uploade niektorymi starsimi verziami IE sa moze poslat MIME typ text/plain, ma s tym problem aj napriklad validator.
Preto odporucam kontrolovat priponu suboru, pripadne spravit textareu na vkladanie XML kodu miesto uploadovania XML suboru, ak ti to nerobi problem.


Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 07.08.06
Prihlásený: 05.12.17
Príspevky: 919
Témy: 259 | 259
Bydlisko: Levice
Napísal autor témyOffline : 20.07.2009 18:20 | kontrola ci je subor xml

vdaka Duri, len ako zistim koncovku uploadnuteho suboru, ked este nie je ulozeny ?

Mozem v tomto pripade pouzit $_FILES['xml1']['tmp_name'] ? ked pises ze v pouziti s type to nie je bezpecne?


Offline

Čestný člen
Čestný člen
kontrola ci je subor xml

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 20.07.2009 18:26 | kontrola ci je subor xml

Skus $_FILES['xml1']['name']. Tmp_name nie je povodny nazov suboru, budes tam mat par zahadnych znakov, nie .xml na konci. Tu mas par sposobov, ako zistit priponu suboru, vid komentare.


Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 31.05.09
Prihlásený: 02.06.17
Príspevky: 562
Témy: 37 | 37
Bydlisko: BegyBen
NapísalOffline : 27.07.2009 1:42 | kontrola ci je subor xml

No neviem :lol: tymto by ste si moc nepomohli, ked uz o bezpecnosti tak treba spomenut aj nulovy bajt ;)


Offline

Čestný člen
Čestný člen
kontrola ci je subor xml

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 27.07.2009 9:50 | kontrola ci je subor xml

A ako ho chces kontrolovat, ked PHP skriptu dorazi len string po NUL byte? Ak POSTom odoslem blabla\0subor.xml, PHP skript mi vrati blabla, co samozrejme na konci .xml nema, je to neplatny nazov. Nemam pravdu?


Offline

Skúsený užívateľ
Skúsený užívateľ
kontrola ci je subor xml

Registrovaný: 30.05.06
Prihlásený: 08.10.14
Príspevky: 1772
Témy: 35 | 35
Bydlisko: BA - WESTSIDE
NapísalOffline : 27.07.2009 11:12 | kontrola ci je subor xml

A zmeniť koncovku je také ťažké? Bude aj obrazok.jpg.xml XML súbor? Skôr by som sa zameral na to, či je daný XML súbor "well-formed", tj. či vyhovuje tvojím požiadavkám. Neviem, aké súbory chceš, ale ak musia mať nejaký predpísaný formát, nie je problém si to jednoducho skontrolovať a pustiť len také súbory.


_________________
A. S. Tanenbaum píše:
The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice.
Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 31.05.09
Prihlásený: 02.06.17
Príspevky: 562
Témy: 37 | 37
Bydlisko: BegyBen
NapísalOffline : 27.07.2009 12:03 | kontrola ci je subor xml

Ďuri píše:
A ako ho chces kontrolovat, ked PHP skriptu dorazi len string po NUL byte? Ak POSTom odoslem blabla\0subor.xml, PHP skript mi vrati blabla, co samozrejme na konci .xml nema, je to neplatny nazov. Nemam pravdu?


A co tak subor kod.php%00subor.xml (kod.php\0subor.xml)? Koncoukou zistis ze je ok, no ulozi sa ti ako kod.php ;) idealny sposob je riesenie ake napisal p360t


Offline

Čestný člen
Čestný člen
kontrola ci je subor xml

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 27.07.2009 12:51 | kontrola ci je subor xml

Nepride PHP skriptu uz len kod.php? Vyskusal som ajaxom odoslat php skriptu "kod.php\0subor.xml" (pomocou POST) a prislo len kod.php...hm?
Samozrejme, ze p360tovo riesenie je dobre, ale testovaniu koncovky sa nevyhnes:
subor.php
Kód:
<root><![CDATA[<?php system($argv[0]) ?>]]></root>
Keby si to kontroloval, ci je to well-formed XML, bude to. Ale spustis to normalne, lebo je to PHP subor.


Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 31.05.09
Prihlásený: 02.06.17
Príspevky: 562
Témy: 37 | 37
Bydlisko: BegyBen
NapísalOffline : 27.07.2009 13:22 | kontrola ci je subor xml

Teraz neviem na co ti mam odpovedat pretoze si text uz asi 3x upravil a nedokazem aktualne reagovat ;)
Citácia:
Samozrejme, ze p360tovo riesenie je dobre, ale testovaniu koncovky sa nevyhnes:


Nikde som nevravel ze testovaniu koncovky sa vyhnes.

Ide v podstate o to ako si pisal na zaciatku o premennych ze ako moze byt v premennej retazec kod.php\0subor.xml a naraz kod.php len tak.

Nie je to len tak, nejde o to ako to vnima PHP ale jazyk C ked sa subor uklada

Skus si napr. skript:
Kód:
<?php
$nas_subor=fopen("kod.php\0obr.jpg", "w+");
?>


Ulozil sa ti subor kod.php\0obr.jpg ? alebo kod.php ?


Offline

Čestný člen
Čestný člen
kontrola ci je subor xml

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 27.07.2009 13:48 | kontrola ci je subor xml

Takyto skript som si vyskusal a mas pravdu, ulozi sa len kod.php. Preto som si ten prispevok upravil (raz). Dufam ze mi to niekedy odpustis :-)
Ide ale o to, ci sa moze vobec dostat do parametru fopen() funkcie retazec "kod.php\0obr.jpg". Pretoze ci posles string "kod.php\0obr.jpg" cez GET alebo POST, PHPcko pracuje uz iba s "kod.php".


Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 31.05.09
Prihlásený: 02.06.17
Príspevky: 562
Témy: 37 | 37
Bydlisko: BegyBen
NapísalOffline : 27.07.2009 14:23 | kontrola ci je subor xml

Citácia:
Takyto skript som si vyskusal a mas pravdu, ulozi sa len kod.php. Preto som si ten prispevok upravil (raz). Dufam ze mi to niekedy odpustis


;)

Citácia:
Ide ale o to, ci sa moze vobec dostat do parametru fopen() funkcie retazec "kod.php\0obr.jpg". Pretoze ci posles string "kod.php\0obr.jpg" cez GET alebo POST, PHPcko pracuje uz iba s "kod.php".


Vyskusaj si napriklad cez GET :

Kód:
<a href="subor.php?nieco=kod.php%00obrazok.jpg" >KLIK</a>

if (isset($_GET['nieco'])){
$txt = $_GET['nieco'];
echo $txt;
$nas_subor=fopen("obrazky/".$txt, "w+");
}


Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 27.07.2009 17:29 | kontrola ci je subor xml

Ja to robim inak...
Ak viem ze to ma byt .xml, tak skontrolujem, ci ma na konci .xml
Ak ano, tak ho odstrihnem, a cely nazov pomocou regularnych vyrazov prevediem len na text, cize len pismenka a-z a miesto medzier dam pomlcky a bodky vyhodim, alebo tiez nahradim pomlckami..
na konci pridam .xml


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 31.05.09
Prihlásený: 02.06.17
Príspevky: 562
Témy: 37 | 37
Bydlisko: BegyBen
NapísalOffline : 27.07.2009 18:37 | kontrola ci je subor xml

Neni to az tak zly sposob ale podla mna dost komplikovany a ma nevyhody. Napr. ak ma clovek zlozku kde si uklada na server subory a ulozi si tam 001.xml a neskor si tam bude chciet ulozit subor 458.xml tak vobec netusi ze ten druhy mu prepise ten prvy a vobec ho nenapadne ze oba subory su brane ako ---.xml

Tymto sposobom dost brzdis uzivatelov, pride mi to ako taky drasticky sek :lol: netreba vsetko zosekat hned a vobec nie az tak ze uzivatelom robis taketo obmedzenia pre bezpecnost. Oni chcu mat bezpecnost a zaroven volnost. Skor by som sa zameral na escape-ovanie metaznakov a na dany subor a jeho predpisany format


Offline

Užívateľ
Užívateľ
kontrola ci je subor xml

Registrovaný: 28.06.09
Prihlásený: 18.12.09
Príspevky: 78
Témy: 1 | 1
Bydlisko: Presov
NapísalOffline : 28.07.2009 10:40 | kontrola ci je subor xml

Osobne by som sa na pripony .xml ani na mine type nespoliehal... Radsej ten subor, ktory pride, by som rozparsoval XML parserom a ak to prejde, tak zistim, ze je to naozaj XML subor.....


_________________
Blogujem teda zijem. Link v profile.
 [ Príspevkov: 15 ] 


kontrola ci je subor xml



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Ako parsovat xml súbor?

v PHP, ASP

1

227

19.02.2010 14:11

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

XML subor a javascript

v JavaScript, VBScript, Ajax

9

733

22.12.2009 11:36

neopagan

V tomto fóre nie sú ďalšie neprečítané témy.

Problém s .XML (Asi zakódovaný súbor)

v HTML, XHTML, XML, CSS

0

162

26.02.2010 16:56

hasic1010

V tomto fóre nie sú ďalšie neprečítané témy.

ako ulozit externy XML subor na moj server

v PHP, ASP

13

409

14.01.2010 6:10

rooobertek

V tomto fóre nie sú ďalšie neprečítané témy.

Firefox : "AUS: Aktualizačný súbor XML sa nenašiel (404)"

v Operačné systémy Microsoft

1

168

05.04.2009 13:26

yterbium

V tomto fóre nie sú ďalšie neprečítané témy.

Generovanie XML:Chybná analýza XML: žiadny prvok sa nenašiel

v HTML, XHTML, XML, CSS

1

369

16.12.2011 16:49

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

XML Schema => XML instance document

v HTML, XHTML, XML, CSS

0

393

02.11.2009 17:46

sINN3r

V tomto fóre nie sú ďalšie neprečítané témy.

C++ Hlavickovy subor vs Hlavickovy subor s CPP suborom (Alebo deklaracia a definicia tried v1 alebo 2och suboroch)

v Assembler, C, C++, Pascal, Java

5

155

19.06.2017 21:16

BX

V tomto fóre nie sú ďalšie neprečítané témy.

xml

v HTML, XHTML, XML, CSS

1

513

02.04.2009 13:38

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

xml vystup

v PHP, ASP

6

393

21.08.2008 16:07

MKI-Miro

V tomto fóre nie sú ďalšie neprečítané témy.

XML export

v PHP, ASP

22

753

25.01.2010 16:49

Miko

V tomto fóre nie sú ďalšie neprečítané témy.

Nevalidné XML

v HTML, XHTML, XML, CSS

6

538

18.10.2009 9:02

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

uprava xml

v HTML, XHTML, XML, CSS

4

535

01.07.2009 11:59

Romanko

V tomto fóre nie sú ďalšie neprečítané témy.

XML parse

v PHP, ASP

2

357

09.09.2010 8:47

Antuanet

V tomto fóre nie sú ďalšie neprečítané témy.

porovnanie XML

v Ostatné programy

2

150

17.05.2016 0:41

lenuska320

V tomto fóre nie sú ďalšie neprečítané témy.

XML kodovanie

v HTML, XHTML, XML, CSS

9

826

03.06.2009 12:31

Blackshadow



© 2005 - 2017 PCforum, edited by JanoF