Hola! (Tambien Filosofias para subir Archivos)

[Bernardo Suárez]

jcataldo en inf.utfsm.cl wrote:

>Mensaje citado por Rossy Roman Salgado <rossyr en abulafia.ciencias.uchile.cl>:
>
>  
>
>>Me llamo Rossy y soy una primeriza total en programacion en Php.  Bueno,
>>llevo cerca de 10 meses en esto, pero es mas el tiempo que paso leyendo
>>manuales que el que escribo codigo!
>>    
>>
>
>Lo malo es precisamente lo contrario: pasar más tiempo escribiendo código que
>pensando respecto a ello :-)
>
>  
>
>>La pregunta que tengo es mas a nivel de filosofias de permisos. Estoy
>>escribiendo un programa que permita subir imagenes a un servidor para ser
>>desplegadas en el contexto de unas noticias. Tengo el problema de no saber
>>cuales son los mejores permisos, los mas seguros, que puedo colocar al
>>directorio que almacenara las imagenes. Alguien podria contarme un poco al
>>respecto?
>>    
>>
>
>IMHO el upload de archivos a directorios es extremadamente peligroso y siempre
>lo evito: el punto es que así como suben fotos también pueden subir scripts u
>otros programas que terminen permitiendo al usuario ejecutar codigo arbitrario
>en el servidor. 
>
>Mi recomendación consiste en usar un contenedor en una Base de Datos para las
>imagenes. Blobs en PostgreSQL me han servido mucho para tal efecto.
>
>Saludos.
>
>  
>
Yo he salido del paso usando un directorio fuera de la ruta web pero con 
permisos suficientes para que php pueda leer el archivo y luego 
escupirlo al browser.
También nunca esta de mas chequear que tipo de archivo estan subiendo 
antes de grabar (extensiones permitidas).
Todo esto suponiendo que el upload es usando http.

Por ftp no lo recomiendo, no hay control.