Menu Zamknij

Tag: php

Elegancki globalny h5ai pod nginxem

h5ai to lister plików w katalogach dla webserwerów oparty o PHP. Zamiast nudnego <ul>&t;li>… produkowanego przez Apache’a, nginxa i całą resztę możemy dostać dowolnie ułożony spis plików (siatka, lista, szczegóły…) z ikonkami, podglądem w colorboxie, kody QR z linkami oraz m.in. filtr. Twórca twierdzi, że żadna specyficzna dla serwera funkcja w tym aliasy (w nginxie server { ... } jest już takim aliasem) nie działa. Ma rację, ale dziś pokażę jak mu tę rację odebrać 😉

Kilka koncepcji na zabezpieczanie PHP przy obróbce plików z podaniem ich ścieżki + wykonywaniem poleceń systemowych

Problem ten dotyka głównie skrypty siedzące w katalogach hardadmin, mających super zabezpieczenia i przeznaczonych do wygodnej edycji plików konfiguracyjnych przez WWW bez konieczności wpinania się do SSH (głównie tam, gdzie nie jest to możliwe). Jeśli mamy stałą liczbę plików to nic prostszego jak je stablicować i nadać nawet prymitywne indeksy numeryczne. Ale szczególnie gdy chcemy mieć możliwość dodawania plików sprawa się komplikuje. Naszym zadaniem będzie uniemożliwić atakującemu podanie ../ lub innych cudów aby ten mógł w najgorszym wypadku namieszać tylko z tą jedną usługą którą zarządza nasz skrypt (np. konfigami nginx’a).

PHP: var_dump do zmiennej

Tego łatwo się nie znajdzie, a potrafi krwi napsuć. W PHP var_dump() wyrzuca zmienną wraz z jej typem, o jest szczególnie użyteczne przy rzucaniu całych tablic (np. $_GET, czy $_SERVER). Ale jak ściągnąć wynik do zmiennej, żeby np. wrzucić go do pliku?

H-PLIKI wydane

Od razu z numerem v2.0 wydałem H-PLIKI – lekkie i proste webowe repozytorium plików napisane w PHP i napędzane przez MySQL. Ma podstawowe funkcjonalności i jest proste w rozbudowie: umożliwia upload plików, zamieszczanie linków oraz dowolną modyfikację plików – łącznie z kasacją (także z dysku) oraz ukrywaniem.