kontrola ci je subor xml

mam klasicky upload suboru chcel by som zamedzit tomu aby sa dali uploadnut ine typy suborov ako xml.

Pri uploade obrazkov som to riesil takto

ale ako to pouzit pre xml?

XML subory maju MIME typ application/xml alebo text/xml, ako XML su rozoberane vlastne aj vsetky subory s MIME */*+xml, teda napr. application/xhtml+xml, image/svg+xml, application/xslt+xml, application/rss+xml a nejake dalsie.
Testovanie MIME typu ale nedoporucujem. Ak si budes vytahovat tuto informaciu z $_FILES['xml1']['type'], mas tam bezpecnostnu dieru. Tato informacia je totiz posielana klientom a ktokolvek sikovnejsi ju vie zmenit, a pri uploade niektorymi starsimi verziami IE sa moze poslat MIME typ text/plain, ma s tym problem aj napriklad validator.
Preto odporucam kontrolovat priponu suboru, pripadne spravit textareu na vkladanie XML kodu miesto uploadovania XML suboru, ak ti to nerobi problem.

vdaka Duri, len ako zistim koncovku uploadnuteho suboru, ked este nie je ulozeny ?

Mozem v tomto pripade pouzit $_FILES['xml1']['tmp_name'] ? ked pises ze v pouziti s type to nie je bezpecne?

Skus $_FILES['xml1']['name']. Tmp_name nie je povodny nazov suboru, budes tam mat par zahadnych znakov, nie .xml na konci. Tu mas par sposobov, ako zistit priponu suboru, vid komentare.

No neviem tymto by ste si moc nepomohli, ked uz o bezpecnosti tak treba spomenut aj nulovy bajt

A ako ho chces kontrolovat, ked PHP skriptu dorazi len string po NUL byte? Ak POSTom odoslem blabla\0subor.xml, PHP skript mi vrati blabla, co samozrejme na konci .xml nema, je to neplatny nazov. Nemam pravdu?

A zmeniť koncovku je také ťažké? Bude aj obrazok.jpg.xml XML súbor? Skôr by som sa zameral na to, či je daný XML súbor "well-formed", tj. či vyhovuje tvojím požiadavkám. Neviem, aké súbory chceš, ale ak musia mať nejaký predpísaný formát, nie je problém si to jednoducho skontrolovať a pustiť len také súbory.

A co tak subor kod.php%00subor.xml (kod.php\0subor.xml)? Koncoukou zistis ze je ok, no ulozi sa ti ako kod.php idealny sposob je riesenie ake napisal p360t

Nepride PHP skriptu uz len kod.php? Vyskusal som ajaxom odoslat php skriptu "kod.php\0subor.xml" (pomocou POST) a prislo len kod.php...hm?
Samozrejme, ze p360tovo riesenie je dobre, ale testovaniu koncovky sa nevyhnes:
subor.php
Keby si to kontroloval, ci je to well-formed XML, bude to. Ale spustis to normalne, lebo je to PHP subor.

Teraz neviem na co ti mam odpovedat pretoze si text uz asi 3x upravil a nedokazem aktualne reagovat


Nikde som nevravel ze testovaniu koncovky sa vyhnes.

Ide v podstate o to ako si pisal na zaciatku o premennych ze ako moze byt v premennej retazec kod.php\0subor.xml a naraz kod.php len tak.

Nie je to len tak, nejde o to ako to vnima PHP ale jazyk C ked sa subor uklada

Skus si napr. skript:


Ulozil sa ti subor kod.php\0obr.jpg ? alebo kod.php ?

Takyto skript som si vyskusal a mas pravdu, ulozi sa len kod.php. Preto som si ten prispevok upravil (raz). Dufam ze mi to niekedy odpustis
Ide ale o to, ci sa moze vobec dostat do parametru fopen() funkcie retazec "kod.php\0obr.jpg". Pretoze ci posles string "kod.php\0obr.jpg" cez GET alebo POST, PHPcko pracuje uz iba s "kod.php".

Vyskusaj si napriklad cez GET :

Ja to robim inak...
Ak viem ze to ma byt .xml, tak skontrolujem, ci ma na konci .xml
Ak ano, tak ho odstrihnem, a cely nazov pomocou regularnych vyrazov prevediem len na text, cize len pismenka a-z a miesto medzier dam pomlcky a bodky vyhodim, alebo tiez nahradim pomlckami..
na konci pridam .xml

Neni to az tak zly sposob ale podla mna dost komplikovany a ma nevyhody. Napr. ak ma clovek zlozku kde si uklada na server subory a ulozi si tam 001.xml a neskor si tam bude chciet ulozit subor 458.xml tak vobec netusi ze ten druhy mu prepise ten prvy a vobec ho nenapadne ze oba subory su brane ako ---.xml

Tymto sposobom dost brzdis uzivatelov, pride mi to ako taky drasticky sek netreba vsetko zosekat hned a vobec nie az tak ze uzivatelom robis taketo obmedzenia pre bezpecnost. Oni chcu mat bezpecnost a zaroven volnost. Skor by som sa zameral na escape-ovanie metaznakov a na dany subor a jeho predpisany format

Osobne by som sa na pripony .xml ani na mine type nespoliehal... Radsej ten subor, ktory pride, by som rozparsoval XML parserom a ak to prejde, tak zistim, ze je to naozaj XML subor.....