Datei-Upload, ungültige Dateiendungen

[oliverbolduan]

hallo,
wie kann ich denn die Überprüfung der Dateiendung beim upload-element deaktivieren?
Mein Problem ist, das ich TL sagen muss welche Dateiformate hochgeladen werden dürfen.
Da die Seite zu den verschiedensten Zwecken benutzt werden soll
und ich nicht voraussehen kann welche Formate hochgeladen werden, reicht es nicht aus
durch Kommatrennung die bekanntesten Formate zu erlauben.
Vielen Dank im Voraus!

[-9999px]

Um das endgültig lahmzulegen müsstest Du wohl den Core patchen - aber ob das sinnvoll ist? Ich persönlich kann mir gut vorstellen, wieviel Spaß es macht, mittels Formular eine Shell in Deinem System zu installieren und Deinen Server zu kapern. Das fändest Du sicher nicht wirklich gut ...

[oliverbolduan]

ja, sichersich ist das eine sinnfolle Sicherheitsmaßnahme, da die seite aber eh passwortgeschützt ist
und nur für vertrauliche kunden gedacht ist, dürfte die warscheinlichkeit,
das jemand mit absicht eine shell zum serverhacken hochläd, eher gering sein.

vielleicht könnte man das feld ja auch "umpolen" so dass man Dateitypen wie shell verbieten kann.
gibt es da keine andere Möglichket z.B. über das DCA oder so???

[jan.theofel]

Hi,

das Problem mit Negativlisten ist, dass du nie sicher sein kannst, dass du alles Böse inkludiert hast. Dadurch hast du immer ein nicht erhebliches Restrisiko.

Deine Beschreibung klingt danach, dass du mit Kunden/Projektpartnern Dateien austauschen willst. In diesem Fall würde ich empfehlen, dass man die Dateien sowieso immer als ZIP-Dateien packt. Das löst nicht nur das Fileextension-Problem sondern schont auch beiderseits die Bandbreite.

Wenn du dir ganz sicher bist, dass du wirklich über eine Negativliste arbeiten willst, musst du in der Tat den Core patchen. Such in den Sourcen den Feldname uploadTypes, dann wirst du eine passende Stelle finden, bei der du nur eine if-Abfrage negieren musst.

Jan