.htacces Как исправить постоянные переписывания?

Question

[twentytvvo]

Создал php обработчик, что бы скидывать файлы загруженные через форму в папку. И каждый раз после использования, нечто, дописывает в .htacces

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>

Изза этого сайт ложится. Я без понятия куда копать, подскажите пожалуйста

Comments

[Денис Юрьев]

обработчик как "создавали"?
Creatio ex Nihilo?

[twentytvvo]

Денис Юрьев,

// Count total files
$countfiles = count($_FILES['file']['name']);
// Looping all files
for($i=0;$i<$countfiles;$i++){
$filename = $_FILES['file']['name'][$i];
$filename = str_replace(" ","_", $filename);
// Upload file
move_uploaded_file($_FILES['file']['tmp_name'][$i],'/upload/'.$filename);
$content = '<a href="/upload/'.$filename.'">'.$filename.'</a><br>';
}

[SagePtr]

twentytvvo, не вижу там вообще каких-либо проверок загружаемых файлов. Юзер может загрузить туда всё что угодно, включая файлы .php. Вероятно, кто-то вам туда .htaccess и кидает.

[twentytvvo]

SagePtr, исключено, так как сайтом пользуюсь сейчас только я, некому кидать туда .htacces

[SagePtr]

twentytvvo, это так кажется, что больше никто не пользуется, если намеренно не закрывали доступ извне никому кроме вас. Ботов, сканирующих сайты на уязвимости, ходит полно.

[twentytvvo]

SagePtr, htacces в корне сайта, а каталог в который загружаются файлы совсем в другом

[twentytvvo]

SagePtr, убрал в обработчике напрочь ту часть с файлами, при отправке формы снова появляется этот .htacces

Answer 1

[Dima Polos]

WP_Rewrite отвечает за урлы и он же затрагивает htaccess.
Перезапись файла, если память не подводит, происходит в том числе при изменении настроек урлов в настройках wp.

Comments

[Денис Юрьев]

тем не менее правило то правильное, но должно падать в каталог куда заливаются файлы, а не в корневой

[twentytvvo]

Денис Юрьев,

// Count total files
$countfiles = count($_FILES['file']['name']);
// Looping all files
for($i=0;$i<$countfiles;$i++){
$filename = $_FILES['file']['name'][$i];
$filename = str_replace(" ","_", $filename);
// Upload file
move_uploaded_file($_FILES['file']['tmp_name'][$i],'/upload/'.$filename);
$content = '<a href="/upload/'.$filename.'">'.$filename.'</a><br>';
}

вот код обработчика, попробовал изменить путь до того где сам обработчик, итог такой же

Answer 2

[twentytvvo]

Короче, оказалось что это со стороны хостинга "подселение", не нравится их антивируснику что то

Comments

[SagePtr]

И правильно не нравится, ваш код загрузки файлов дырявый, как решето, позволяет совершенно произвольные файлы грузить в произвольное место

[twentytvvo]

SagePtr, подскажите фильтр

[SagePtr]

twentytvvo, какой фильтр? Имя файла генерируйте псевдослучайно (я обычно вычисляю как хэш от содержимого - это заодно обеспечивает дедупликацию), а расширение файла - из белого списка (обычно анализирую по сигнатуре файла и на её основе выбираю, для неизвестных типов можно какой-нибудь bin или txt, или запретить их загрузку). При таком подходе злоумышленник не сможет манипулировать именами файлов, даже если закинет туда зловред - тот будет просто валяться в папке мёртвым грузом без какого-либо исполняемого расширения файла и отдаваться на скачивание при открытии.

[twentytvvo]

SagePtr,
Я позаботился о безопасности, оцените пожалуйста:
JQUERY:

$('#addImages').on('change', function () {
         var files = this.files;
         $('.file_count').val();

         for (var i = 0; i < files.length; i++) {
             var file = files[i];

             if ( !file.type.match(/image\/(jpeg|jpg|png)/) ) {
                 alert( 'Фотография должна быть в формате jpg или png' );
                 continue;
             }

             if ( file.size > maxFileSize ) {
                 alert( 'Размер фотографии не должен превышать 10 Мб' );
                 continue;
             }

             preview(files[i]);
         }

         this.value = '';
     });

После этого момента уже очевидно, что файл другого расширения будет загружать пользователь не имеющий светлый намерений, поэтому в php все проще:

$countfiles = count($_FILES['file']['name']);
if (!file_exists('upload/'. $usernamed .'/')) {
    mkdir('upload/'. $usernamed .'/', 0777, true);
}
$coment = htmlspecialchars($_POST['coment']);
// Looping all files
for($i=0;$i<$countfiles;$i++){
$filename = $_FILES['file']['name'][$i];
$filename = str_replace(" ","_", $filename);
$type = $_FILES['file']['type'][$i];
// Проверка на расширение файлов
if($type == "image/jpeg" || $type == "png"){
// Если проверка удачная -> файлы загружаются в папку
move_uploaded_file($_FILES['file']['tmp_name'][$i],'upload/'. $usernamed .'/'.$filename);
$content = 'Папка с фотографиями - /upload/'.$usernamed.'<br> <h3>Комментарии:</h3><br><span>'. $coment .'</span>' ;
} 
// Неудачная попытка запишет в переменную $content следующий текст, файлы не загружаются.
else {
$content = 'Пользователь пытался обойти меры безопасности и загрузить файлы не соответствующие расширениям (jpeg, png)';
}
}

[SagePtr]

twentytvvo, а где тут проверка, собственно? Пользователь по-прежнему может легко обойти её:

curl http://domain/upload.php -F "file[]=@evil.php;type=image/jpeg;filename=good.php"

[twentytvvo]

SagePtr, оу, я новичок, не знал о таких штучках

[twentytvvo]

SagePtr, а можете скинуть линк где можно прочитать о защите от такого?

[SagePtr]

twentytvvo, не коллекционирую ссылки. Но принцип один - не доверять никаким данным, пришедшим извне. Всё что можно подделать - злоумышленник легко подделает. В случае с загружаемыми файлами - клиент передаёт поля name, type и содержимое файла, остальное (tmp_name, size, error) - просчитывается на сервере, потому доверять можно только полям tmp_name, size, error, остальные можно как-нибудь учитывать, но не верить им, их легко подделать.