raz kolejny problem z gg

[gogulas]

to jeszcze rokuje w takim razie...
emce powiedz, skrypt ten przekazuje zawartosc pliku boot.ini do file.php, i dopiero w php robimy sobie z tym stringiem to co bedziemy chcieli, czyli np. zapisujemy dalej w pliku tekstowym.
em aj rajt?

[eMCe]

nie - to działa na zasadzie wysyłania pliku...

nie chce mi sie analizować kodu - kiedyś już to robiłem i z tego co pamiętam działa to mniej więcej tak że przyjmuje sobie za string ścieżkę do pliku...
następnie w momencie w którym Ty przepisujesz to co masz przepisać sprawdza na bierząco jaki klawisz nadusiłeś - jeśli jest to klawisz potrzebny do utworzenia stringu (czyli ścieżki do pliku jaki chcemy ukraść...) to przenosi focus do input'a typu upload - w odpowiednie miejsce a następnie kopiuje ten znak do inputa typu text - wdzydtko dlatego ze nie można przypisać przez JS jakiejś wartości dla inputa typu file (można tylko poprzez wpisanie ścieżki z klawiatury lub pliknięcie przeglądaj i dalej wiadomo) natomiast do inputa tupy text można przypisać dowolną wartość - poprzez .value= - gdy wprowadzony text pozwala na utworzenie ścieżki do pliku - formulaż zostaje wysłany - w rezultacie - plik który chcemy ukraść zostaje uploadowany - dalej można go odebrać przez php i zrobić co sie tylko podoba...

[gogulas]

to ja rozumiem ze jest troche zamieszane przez ograniczenia JS, nie dzieje sie to autoamtycznie tylko ofiara sama to inicjujue niswiadomie, nie wiem tylko gdzie i jak jest uplodowany ten plik... w jakiej postaci... do jakiego pliku... java script moze zapisywac pliki?, otwierac, tworzyc, dopisywac, nadpisywac? :P

[skrzynior]

nie - to działa na zasadzie wysyłania pliku...

nie chce mi sie analizować kodu - kiedyś już to robiłem i z tego co pamiętam działa to mniej więcej tak że przyjmuje sobie za string ścieżkę do pliku...
następnie w momencie w którym Ty przepisujesz to co masz przepisać sprawdza na bierząco jaki klawisz nadusiłeś - jeśli jest to klawisz potrzebny do utworzenia stringu (czyli ścieżki do pliku jaki chcemy ukraść...) to przenosi focus do input'a typu upload - w odpowiednie miejsce a następnie kopiuje ten znak do inputa typu text - wdzydtko dlatego ze nie można przypisać przez JS jakiejś wartości dla inputa typu file (można tylko poprzez wpisanie ścieżki z klawiatury lub pliknięcie przeglądaj i dalej wiadomo) natomiast do inputa tupy text można przypisać dowolną wartość - poprzez .value= - gdy wprowadzony text pozwala na utworzenie ścieżki do pliku - formulaż zostaje wysłany - w rezultacie - plik który chcemy ukraść zostaje uploadowany - dalej można go odebrać przez php i zrobić co sie tylko podoba...

a jak pliczek taki oderbrać przez php?

[eMCe]

odpowiadając na 2 powyższe posty:

http://webmade.org/porady/upload-pli...serwer-php.php
albo google - fraza: upload w php (lub pokrewne)

JavaScript (ten 'montowany' w przeglądarkach - bo język ten ma dość duże możliwości - w zasadzie jest to mój ulubiony język - i według mnie można by go spokojnie nie tylko do tworzenia dynamicznych stron wykorzystać - ale to już inny wątek na ten temat jak chcecie mogę założyć....) nie ma możliwości otwierania plików (pomijając ciasteczka z tego co pamiętam) chodzi tu o wysyłanie pliku poprzez formularz.... wysyłasz taki plik formularzem do jakiegoś skryptu php który to odbierze i przetworzy....

[gogulas]

wysyłasz taki plik formularzem do jakiegoś skryptu php który to odbierze i przetworzy....

O to mi wlasnie chodzilo, zerknij w kod bo wynika z niego ze przeslany zostanie do pliku file.php, a jak ma wygladac wtedy file.php?

[TQM]

plik php przyjmujacy upload musi sam sobie okreslic nazwe docelowego pliku, otworzyc go do zapisu, zapisac i zamknac... wszystko jest w manualach

[gogulas]

a jak bedzie wygladala funkcja przyjmujaca taki string? bo sam zapis wartosci zmiennej do pliku to bajka...

[TQM]

ehhh leniu smierdzacy - eMCe podal link i tam jest kompletny przyklad... tak w PHP obsluguje sie upload plikow

[eMCe]

dokładnie do file.php (action="file.php")

nie wiem co ma robić wiec trudno mi powiedzieć jak ma wyglądać jeśli tylko zapisywać gdzieś plik to:

Kod:

<?php
move_uploaded_file($_FILES['userfile']['tmp_name'], $location)
?>

gdzie $location zawiera ścieżkę,nazwę i rozszerzenie pliku do jakiego ma być zapisany np.
$location = "c:/aaa/ukradlem.txt";
wtedy uploadowany plik zostanie zapisany w c:/aaa/ pod nazwą ukradlem.txt

http://php.net.pl/manual/pl/function...oaded-file.php

oczywiście pominołem wszelkie środki bezpieczeństwa!! czego normalnie się nie robi!!

pierwsza sprawa to powinienem sprawdzić czy plik jest napewno wysyłany do mnie przez http (funkcja is_upload_file() - bo można by było to wykorzystać do niecnych celów - druga sprawa to sprawdzenie typu MINE - bo ktoś nam może wżycić shel na server i lipa
potem dochodzi sprawdzenie rozmiaru, limit wrzuceń - czyli ogólnie zabezpieczenie przed floodowaniem