Уязвимость File Manipulation. Как исправить?
180
28 января 2018, 03:50
Надо было просканить сайт на уязвимости. Среди многих есть одна, которую не могу никак исправить. Помогите советом
if (is_uploaded_file($_FILES["resume_filename"]["tmp_name"]) && $_FILES["resume_filename"]["size"]) {
$cat = $_SERVER["DOCUMENT_ROOT"]."/up_resume/";
$ext = get_ext_file($_FILES["resume_filename"]['name']);
$code = get_name_not_ext($_FILES['resume_filename']['name']);
}
$i = 0; $new_code = $code;
while(file_exists($cat.$new_code.'.'.$ext) && is_file($cat.$new_code.'.'.$ext)) $new_code = $code."_".(++$i);
$code = $new_code;
$code = (($code));
$upload_fname = $cat."".$code.'.'.$ext."".$files;
move_uploaded_file($_FILES["resume_filename"]["name"], "$upload_fname");
@chmod($upload_fname, 0644);
$xml_exp .= '<file>'.htmlspecialchars($upload_fname).'</file>';
$message .= $loc['form']['data']['resume_file']['#text'].': http://' . $_SERVER[' '] . '/up_resume/' . $code.'.'.$ext;
}
Уязвимость определяет именно в этом фрагменте. Мол, надо защитить загружаемый файл от атак.
-
21:33
Виртуальный выделенный сервер (VDS) становится отличным выбором
-
22:26
-
22:40
-
08:34
-
15:01
-
17:01
-
11:24
-
10:16
-
17:54
ТОП-10
- Почему SERVER_ADDR имеет не тот IP 47693 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30544 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 23720 visits
- Как через css изменить цвет png изображения? 10372 visits
- Blob video url download 9980 visits
- Php curl запрос через прокси с авторизацией 9239 visits
- Работа с captcha vk api 8116 visits
© "hostciti.net" 22.1.2025 | 09:05