PEAK XOOPS - News in englishin japanese

Archive | RSS |
  
PHP : アップロードされたzipファイルを解凍する時の注意点
Poster : GIJOE on 2006-04-06 10:39:12 (15023 reads)

in englishin japanese
ここに来て立て続けに、アップロードされたzipファイルを解凍した中身を反映するコードを書いてきましたが、実のところ、これらで利用している PEAR::Archive_Zip には、穴があります。

それは具体的には以下の2点です。

(1) ファイルシステムに解凍すると、Directory Traversalがある
(2) 解凍処理でメモリをすべて食いつぶすようなzipファイルが簡単に作成可能である

このうち、(1)に対しては明確な対応策があります。ファイルシステム上に解凍しなければ良いのです。


	$reader = new Archive_Zip( (アップロードテンポラリファイル) ) ;
	$files = $reader->extract( array( 'extract_as_string' => true ) ) ;

とすることで、ファイルシステムには影響なく、$files に配列として保存されます。あとは、適切に保存処理を行えば良いだけです。

その一方、(2)の方は、防ぎようがない、というのが実情です。ライブラリの方にパッチをするとしても、かなり大がかりになってしまいます。

以上から、zipでアップロードして、それをサーバ側で解凍する機能は、なんらかの方法で信用できるユーザに限るしかない、というのが実情です。

ファイルアップロードについては、CSRFの心配はありませんから(そんなのがあったら、今話題のantinnyよりも怖いでしょう)、直接攻撃系だけをケアすれば良いのが救いです。

0 comments

XOOPS : 新スマイリーマネージャ
Poster : GIJOE on 2006-04-05 06:14:50 (9854 reads)

in englishin japanese
AVAMANを作ったついでに、スマイリーの管理画面もちゃちゃっと作ってみました。
同じく、zipやtar.gzでのアップロードが可能です。

アバターと違うのは、ファイル名がそのまま顔アイコンの変換元コードになる点です。

つまり、顔アイコンファイルをいくつか作ってzipアーカイブすれば、それだけで、顔アイコン集として配布可能だ、ということです。登録する側は、新スマイリーマネージャから、そのzipをアップロードするだけです。

すぐれた顔アイコン集がリリースされることを期待してます。

顔アイコン集のサンプル:
http://www.peak.ne.jp/support/xoops/sample_smilies.zip

1 comments

XOOPS : A little module AVAMAN
Poster : GIJOE on 2006-04-04 06:27:06 (9055 reads)

in englishin japanese
ちっちゃな管理モジュール、AVAMAN をリリースしました。

システムのアバター管理があまりにも使いづらいので、ぱっと作ってみました。
計3時間です。(本当は1時間くらいで終わるはずだったのですが…orz)

ともあれ、システムアバターをアーカイブで一括アップロードできる機能はきっと役立つでしょう。

4 comments

Site News : I give "Customizing XOOPS" to you!
Poster : GIJOE on 2006-03-22 06:23:35 (11364 reads)

This application has already ended.
----------------------------------------------
"Customizing XOOPS" -a XOOPS book written by matchan and me- get good selling result. (already 6th print)
And I have surplus the books by my side.



Thus I'd like to return my experiences and give the book to foreign Xoopsers.
Though the book is written in Japanese, source codes are written in PHP

If you want to get my book, contact me by e-mail or PM.
The deadline is 1st April

If I get requests more than five, I'll choose them with the priority.

1. well-known developper (like: mithrandir, marcan, phppp etc.)
2. active in peak xoops
3. active in xoops.org (judged by post numbers in xoops.org)

Of course, I'll pay the postage.

I'm waiting many request from you!

24 comments

XOOPS : xhtml valid hack released!
Poster : GIJOE on 2006-03-21 01:43:00 (8314 reads)

in englishin japanese
XHTML ValidでないサイトをValidにするHackです!
やり方は、include/ フォルダに joke_xhtml_valid.php を用意して、mainfile.php のXOOPS_ROOT_PATH定義行の直後に1行加えるだけ!

……な〜んて、もちろん冗談ですが、このサイトみたいに、xhtml validをまったく気にしていないサイトでは、とりあえずhtml-lintで10〜20点は上昇しましたよ

Read more... | 932 bytes more |0 comments

« 1 ... 35 36 37 (38) 39 40 41 ... 55 »
Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!