دانلود پروژه اپلود و دانلود به صورت زیپ

دوستان یه پروژه ای تمرینی زدم و براتون به صورت رایگان میزارم استفاده کنید


نظری باگی چیزی پیدا کردید بدید برطرف کنم


لینک دانلود کلیک کنید


عکس :

http://s6.uplod.ir/i/00836/5aiyro7vy6b0_t.jpg

سلام

آسیب‌پذیری‌ها:

۱. SQL Injection

کد PHP:

---

$query=$conn->query("insert into upload(name)values('$name')"); 


---

PDO متد‌های خوبی برای escape کردن دارد. بهتر است از prepare و execute استفاده شود.

۲. Remote file inclusion
دانلود فایل از سرور:

کد:

---

http://domain/download.php?filename=../index.php

---

۳. عدم بررسی پسوند فایل آپلود
کافی هست یک شل آپلود شود.


هر سه مورد اولویت «خطرناک» تا «بسیار خطرناک» دارند. یعنی داشتن یکی از موارد بالا به تنهایی هم جدی هست.

نقل قول:

---

نوشته اصلی توسط Flynic

سلام

آسیب‌پذیری‌ها:

۱. SQL Injection

کد PHP:

---

$query=$conn->query("insert into upload(name)values('$name')"); 


---

PDO متد‌های خوبی برای escape کردن دارد. بهتر است از prepare و execute استفاده شود.

۲. Remote file inclusion
دانلود فایل از سرور:

کد:

---

http://domain/download.php?filename=../index.php

---

۳. عدم بررسی پسوند فایل آپلود
کافی هست یک شل آپلود شود.


هر سه مورد اولویت «خطرناک» تا «بسیار خطرناک» دارند. یعنی داشتن یکی از موارد بالا به تنهایی هم جدی هست.

---

تشکر به زودی رفع میشه

مطابق همون چیزی که دوستمون فرمودن به نظرم مهمترین بخش همون بررسی جنس فایل آپلود ی هست . در ضمن حتما از pdo استفاده کنید چون دستورات قدیمی sql در ورژن های جدید php از بین خواهد رفت

نقل قول:

---

نوشته اصلی توسط rayanagostar

مطابق همون چیزی که دوستمون فرمودن به نظرم مهمترین بخش همون بررسی جنس فایل آپلود ی هست . در ضمن حتما از pdo استفاده کنید چون دستورات قدیمی sql در ورژن های جدید php از بین خواهد رفت

---

بله حتما به زودی این مواردشو اصلاح میکنم .