Tweet
Werte Forengemeinde.
Ich möchte meinen Nutzern ermöglichen, Daten in die Weboberfläche zu importieren.
Dazu habe ich gewählt, dass man die Daten in einem Excelsheet mit einem bestimmten Design vorbereiten muss. Mittels PHP Upload Forum lade ich das Excelsheet hoch in ein Temp File Copiere es dann in ein Unterverzeichnis und lese von dort die Daten dann Zeile für Zeile ein. Worauf muss ich aus sicherheitstechnischen Gründen achten?
Extension prüfen: Nur .xls Files dürfen hochgeladen werden.
Jedes Feld das ich auslese zuerst prüfen ob wohl kein PHP Code eingeschleust wird. Sprich <?, $, ´´ Tags entfernen.
Dem Verzeichnis in den ich das File kopiere muss aber schreibrechte haben.
Eigentlich müsste das dann sicher sein.
Ich habe jetzt bei Joomla aber erlebt, dass wenn man dort auf die config.php schreibrechte vergibt – Serverschreibrechte – das diese config.php gehackt wurde.
Das stimmt mich jetzt etwas nachdenklich und deshalb auch meine Frage an Euch.
Thx for input
Teutatis.
Ich möchte meinen Nutzern ermöglichen, Daten in die Weboberfläche zu importieren.
Dazu habe ich gewählt, dass man die Daten in einem Excelsheet mit einem bestimmten Design vorbereiten muss. Mittels PHP Upload Forum lade ich das Excelsheet hoch in ein Temp File Copiere es dann in ein Unterverzeichnis und lese von dort die Daten dann Zeile für Zeile ein. Worauf muss ich aus sicherheitstechnischen Gründen achten?
Extension prüfen: Nur .xls Files dürfen hochgeladen werden.
Jedes Feld das ich auslese zuerst prüfen ob wohl kein PHP Code eingeschleust wird. Sprich <?, $, ´´ Tags entfernen.
Dem Verzeichnis in den ich das File kopiere muss aber schreibrechte haben.
Eigentlich müsste das dann sicher sein.
Ich habe jetzt bei Joomla aber erlebt, dass wenn man dort auf die config.php schreibrechte vergibt – Serverschreibrechte – das diese config.php gehackt wurde.
Das stimmt mich jetzt etwas nachdenklich und deshalb auch meine Frage an Euch.
Thx for input
Teutatis.
Moderator
Kommentar