Sichere Datei-Uploads mit CurlFile: RFC für PHP 5.5
Kommentare

PHP-Core-Autor Stas Malyshev hat in seinem jüngsten Request for Comments vorgeschlagen, dass man das Curl-API modifizieren sollte, um Injection-Attacken zu erschweren und Dateiuploads sicherer zu machen.

PHP-Core-Autor Stas Malyshev hat in seinem jüngsten Request for Comments vorgeschlagen, dass man das Curl-API modifizieren sollte, um Injection-Attacken zu erschweren und Dateiuploads sicherer zu machen. Dazu hat er die neue Klasse CurlFile vorgestellt, die Dateien in einem solchen Objekt prüft, und erst dann im Skript fortfährt.

Die bisherige Implementierung hat einige Macken. So kann man ihr syntaxbedingt keine Daten übergeben, die mit einem @-Zeichen beginnen. Und allgemein ist sie anfällig für viele Typen von Injections. Also schlug Malyshev vor, dass man sie in kommenden PHP-Versionen schrittweise abstellt. So soll sie ab Version 5.5 Deprecation-Warnungen ausgeben. Zusätzlich soll sich die alte Implementierung über curl_setopt(&#36curl_handle, CURLOPT_UNSAFE_UPLOAD, true); an- oder abschalten lassen. Dieser Schalter soll dann ab einer PHP-Version 5.6 per default auf false stehen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -