[php-upload] possible file upload attack

1
2
3
4
5
6
7
8
9
10
11
12
13
14

/* de database actie voor de file upload functie */
$uploaddir = '/var/www/upload/';
$uploadfile = $uploaddir . $_FILES['userfile']['name'];

print "<pre>";
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
   print "File is valid, and was successfully uploaded. ";
   print "Here's some more debugging info:\n";
   print_r($_FILES);
} else {
   print "Possible file upload attack!  Here's some debugging info:\n";
   print_r($_FILES);
}
print "</pre>";

1
2
3
4
5
6
7
8
9
10
11
12
13

Possible file upload attack!  Here's some debugging info:
Array
(
    [userfile] => Array
        (
            [name] => badkamer.jpg
            [type] => 
            [tmp_name] => 
            [error] => 2
            [size] => 0
        )

)

[ Voor 10% gewijzigd door hobbeldebobbel op 21-01-2004 14:41 ]

quote: http://nl.php.net/move_uploaded_file

If filename is not a valid upload file, then no action will occur, and move_uploaded_file() will return FALSE.

If filename is a valid upload file, but cannot be moved for some reason, no action will occur, and move_uploaded_file() will return FALSE. Additionally, a warning will be issued.

[ Voor 13% gewijzigd door hobbeldebobbel op 21-01-2004 14:51 ]

[ Voor 12% gewijzigd door hobbeldebobbel op 21-01-2004 14:56 ]

FvKnijff schreef op 21 januari 2004 @ 15:09:
[...]


lees je eigenlijk wel wat daar staat en wat je eerder zelf gequote hebt lijkt me dat je een bestand probeerde te uppen wat groter was dan de waarde die in je max_file_size stond, en dan geeft het component ook FALSE terug... (staat in 2e regel van je eigen quote)...