Downloaden afbeeldingen / pdf inplaats van openen

Volgens mij is de header van een .jpg bestand "image/jpeg" (bron: Wikipedia: Internet media type)

en je kan gelijk de index.php downloaden. how conveniant

neem ik ff aan hoor ik weet eigenlijk niet wat er omheenzit verder, maar ik neem zomaar even aan dat deze shizlle door de url komt ?

[ Voor 53% gewijzigd door Fish op 09-01-2014 23:17 ]

Is het een probleem? De gebruiker kan normaal gesproken kiezen om het te downloaden of om het te openen. Waarom wil je deze keuze forceren?

Maverick2001 schreef op donderdag 09 januari 2014 @ 23:19:
[...]


Het idee is om bijvoorbeeld af te dwingen dat een PDF gedownload wordt en niet zoals safari in een nieuw tabblad geopend wordt. Er is ook een knop om het document / afbeelding te bekijken.

Dat snap ik, maar waarom zou je dit willen? De gebruiker weet of hij/zij iets wil bekijken of op wil slaan. In beide gevallen wordt het gedownload.

Maar als je dit echt wilt zou ik met javascript een save as dialog maken.

[ Voor 5% gewijzigd door Alain op 09-01-2014 23:28 ]

Je kunt een bestand wel server side gaan manipuleren, maar dat is niet wat je wilt. Dit moet je client side oplossen.

Misschien omdat het jpeg is en geen jpg?

Hoe dan ook vind ik dit geen oplossing.

Kijk hier eens naar: http://stackoverflow.com/...th-javascript-window-open

Overigens is je code heel onveilig omdat elk bestand er mee te lezen is...

fish schreef op donderdag 09 januari 2014 @ 23:16:
en je kan gelijk de index.php downloaden. how conveniant

neem ik ff aan hoor ik weet eigenlijk niet wat er omheenzit verder, maar ik neem zomaar even aan dat deze shizlle door de url komt ?

?file_source=config.php werkt gewoon
?file_source=/etc/passwd werkt als open basedir niet goed staat
?file_source=c:\boot.ini idem verhaal

DJMaze schreef op vrijdag 10 januari 2014 @ 13:43:
[...]


?file_source=config.php werkt gewoon
?file_source=/etc/passwd werkt als open basedir niet goed staat
?file_source=c:\boot.ini idem verhaal

Als bij jou c:.. werkt zou ik iig de rechten van de apache(?) service aanpassen zodat die alleen maar in de apache, php, domeinen kan komen. en niet als admin/root draaien

fish schreef op vrijdag 10 januari 2014 @ 15:24:
[...]


Als bij jou c:.. werkt zou ik iig de rechten van de apache(?) service aanpassen zodat die alleen maar in de apache, php, domeinen kan komen. en niet als admin/root draaien

In je code moet je van het worst-case scenario uitgaan, het zou zo kunnen gebeuren dat je scriptje op een slecht beveiligde server staat. De beveiliging moet dus in de code gebouwd worden.

Eens,

Maar dat betekend niet dat je in de code geen fouten kan maken. En dit is puur een maatregel om shit te voorkomen die daaruit voort kan komen.

Een webserver hoeft maar in een bepaald gebied te operren. dus geef je die (user(s)) toesteming om alleen maar daar te kunnen komen. Wat je ook met normale gebruikers doet die je beter vertrouwd dan een random lul op internet.

Je gaat toch ook niet als root de database in met een webservice, dit is exact hetzelfde maar dan op file niveau

[ Voor 56% gewijzigd door Fish op 10-01-2014 16:26 ]

1. Hier ga je inderdaad de security moeten herbekijken
2. als je deze header toevoegt, werkt het dan wel?

Je code-snippet werkt hier wel. Zeker weten dat het bron-bestand ($fullPath) klopt?

Check verder de manual-page van readfile(): Example #1 Forcing a download using readfile()

Een eenvoudiger manier: laat de afbeelding/PDF inpakken in een .zip als de gebruiker download van de website.

Heb je het gedownloade bestand al eens met een hex-editor vergeleken met het oorspronkelijke bestand?

In je openingspost lijkt het of er voor de aanvang van php een tab staat. Komt die tab niet mee in je bestand terecht?

fish schreef op vrijdag 10 januari 2014 @ 16:21:
Eens,

Maar dat betekend niet dat je in de code geen fouten kan maken. En dit is puur een maatregel om shit te voorkomen die daaruit voort kan komen.

Een webserver hoeft maar in een bepaald gebied te operren. dus geef je die (user(s)) toesteming om alleen maar daar te kunnen komen. Wat je ook met normale gebruikers doet die je beter vertrouwd dan een random lul op internet.

Je gaat toch ook niet als root de database in met een webservice, dit is exact hetzelfde maar dan op file niveau

Beveiliging is nodig op 3 lagen
- De server laag: systeembeheerders moeten er voor zorgen dat de server veilig is
- De code laag: programmeurs moeten er voor zorgen dat hun code veilig is, waar het dan ook op draait
- De configuratie laag: die is voor de gebruiker, die idd niet met root de database in moet gaan

Jouw voorbeeld is dus niet exact hetzelfde, want een eindgebruiker kan de fout maken in het geval van de database. Overigens is dat ook weer door de programmeur op te vangen

wat probeer je nou te zeggen ?
Dat het ok is dat je vanuit je webserver met verkeerde code op plekken kan komen waar je niet hoort te komen? of ben je het met me eens ?

ik weet niet vanuit welk standpunt jij denkt maar een random gebruiker van een website hoort helemaal niet bij de configuratie van wat dan ook op die server te komen. en al helemaal niet bij de configuratie van de database verbinding.

Adion schreef op zaterdag 11 januari 2014 @ 10:28:
Heb je het gedownloade bestand al eens met een hex-editor vergeleken met het oorspronkelijke bestand?

In je openingspost lijkt het of er voor de aanvang van php een tab staat. Komt die tab niet mee in je bestand terecht?

Scherp! Blijkbaar is dit niet het hele bestand, wel? Wel vreemd dat TS aangeeft dat de bestandsgrootte klopt... Tenzij ie dat in Windows Verkenner heeft bekeken.

HollowGamer schreef op vrijdag 10 januari 2014 @ 19:24:
Een eenvoudiger manier: laat de afbeelding/PDF inpakken in een .zip als de gebruiker download van de website.

Dan moet je wel een config.php hebben he. als die er niet is vind die hem ook niet

Waarschijnlijk wil je maar uit 1 map downloads toestaan (met eventueel submappen). Dat kun je doen door de meegegeven bestandsnaam te controleren met bijvoorbeeld een preg_match en met realpath() kun je kijken of er niet ergens geknoeid wordt met "../".

fish schreef op zaterdag 11 januari 2014 @ 12:16:
wat probeer je nou te zeggen ?
Dat het ok is dat je vanuit je webserver met verkeerde code op plekken kan komen waar je niet hoort te komen? of ben je het met me eens ?

ik weet niet vanuit welk standpunt jij denkt maar een random gebruiker van een website hoort helemaal niet bij de configuratie van wat dan ook op die server te komen. en al helemaal niet bij de configuratie van de database verbinding.

Wat ik wil zeggen is dat je als programmeur van de 'domste eindgebruikers', slimste eindgebruikers en onveiligste servers moet uitgaan. Je moet er niet in je code van uitgaan dat de server 'toch niet bij alle mappen kan komen'

Maverick2001 schreef op zaterdag 11 januari 2014 @ 14:10:
[...]
Er is inderdaad iets mis met de Tab! Dat is het probleem.

Verder is het meer even het testen van de mogelijkheden.

Voor testen moet je eerst beginnen met geen length header mee te geven.
Een length header zegt simpelweg tegen de browser : Zoveel bytes moet je opslaan, alles wat erna komt kan je negeren...
Dus als je ook maar 1 teken aan het begin toevoegt dan wordt je bestand op schijf (bij de meeste browsers) nog niet groter, er wordt gewoon 1 teken aan het einde afgekapt.

Maverick2001 schreef op zaterdag 11 januari 2014 @ 18:05:
[...]


Bedankt voor de tip! Met preg_match wordt het idd een stuk veiliger om binnen de download dir te blijven.

Als je alleen PDF en JPG wil laten downloaden, dan kun je de rest van de bestanden ook laten weigeren in je code

Maverick2001 schreef op zaterdag 11 januari 2014 @ 18:05:
[...]


Bedankt voor de tip! Met preg_match wordt het idd een stuk veiliger om binnen de download dir te blijven.

preg_match is duur en over het algemeen onoverzichtelijk (checken op ../ is zinloos, dan laat je nog ./../ door, daarnaast heb je nog alle encodings waarin een slash kan staan etc)

Blacklisten op een FileSystem is gewoon een slecht idee (je moet alle vormen die je FileSystem accepteert gaan afvangen en dat zijn er nogal wat over het algemeen)

Je moet gewoon gaan whitelisten en dit kan nog steeds dynamisch door bijv server-side een whitelist op te bouwen uit alle files in een bepaalde dir-structuur

Blacklisten wil je alleen maar als je totaal geen idee hebt wat er is toegestaam, maar als je dat binnen je eigen scripts voor elkaar krijgt dan heb je hele andere problemen.

Nee, zoals Gomez12 zegt: Enkel whitelisten, niet blacklisten.

CKFinder is trouwens ook een mooie FileManager mocht je er toch een nodig hebben.

Maverick2001 schreef op zaterdag 11 januari 2014 @ 18:59:
Maar als je weet in welke directory de bestanden staan dan kan je toch wel met preg_match de rest afvangen.

Geef eens een voorbeeldje van zo'n regex dan? (Die dus alle, maar dan ook echt alle verschijningsvormen tegenhoud)

Het nadeel van blacklisten is simpelweg dat je meer doorlaat dan nodig is en dat je er dan op vertrouwt dat een ander system (in dit geval je webserver/OS) magischerwijs wel gaat uitvinden wat jij wel/niet tegenhouden wil hebben.

Geef eens 1 goede reden waarom je meer toestaat dan noodzakelijk en daarna vertrouwt op magie die je bestanden moet beschermen.
Terwijl je gewoon heel simpel een whitelist kan opbouwen (gooi een filelisting van de toegestane files in een array en doe dan in in_array check et voila. je hebt voor dit gedeelte een 100% beveiliging ipv een twijfelachtige...)