hocam safe mod u on kullanmanizin ozel bir nedeni var mi? php6 ile tumden kaldiriliyor bu ozellik zaten
Haklısınız aslında. register globals te kalkacak sanırım ama alışkanlık olsa gerek. php.net te bile aşağıdaki cümle yazıyorken bu ayarı on yapınca sanki tüm saldırılardan korunuyorum gibi hissettiriyor
PHP.NET
http://www.php.net/manual/tr/features.safe-mode.php
Alıntı
PHP güvenli kipi, paylaşımlı sunucu güvenliği sorunlarını çözümlemeye çalışır. Bu tür sorunları PHP seviyesinde çözümlemeye çalışmak mimari olarak doğru değildir, fakat HTTP sunucusu ve işletim sistemi seviyesindeki çözümler pek gerçekçi olmadığından çoğu kişi, özellikle de ISP'ler güvenli kipi halen kullanmaktadırlar.
Buradaki "çoğu kişi" nin içerisindeyim...
Yazmışken ;
php ile yükleme(upload) işlerinde dikkatil olmak gerekiyor. Siz siz olun resim yükleme işlemlerinde resim tipini sadece getimagesize ile tespit etmeyin. Zamanında tecrübesizliğimle beraber acı bir deneyim yaşamıştım
Okuduğum yabancı kaynaklarda $_FILES['image']['type'] kodununda geçilebileceğini görmüştüm. Gerek .gif uzantı resimlerin yüklenirken sistemi delebilmesi, gerek başka şekilde.
Kendimce şöyle bir çözüm buldum. Yüklenilen resmi
rb (read-binary) modunda açıp içerisinde zararlı kelimelerin olup olmadını tespit ediyorum. Yani resimin gerçek bir resim olduğunu tespit edebiliyorum. Ama bu yöntem de bana delinir gibi geliyor
Güzel bir kaynak = >
http://www.scanit.be/uploads/php-file-upload.pdf