Comentarios en: Cómo validar correctamente la descarga de un archivo en php

Por: Jotape

Jotape — Wed, 17 Aug 2011 16:26:32 +0000

Encontré este código que modifiqué levemente (http://forum.codecall.net/classes-code-snippets/10316-php-directory-traversal-prevention.html) que puede ser útil para prevenir el directory transversal… solamente pasa el código si el directorio desde donde se va a bajar el archivo se encuentra más abajo (en profundidad)

$path_parts = pathinfo($archivo);
$directory = $path_parts["dirname"];

$root = explode ( DIRECTORY_SEPARATOR, realpath ( dirname ( __FILE__ ) ) );

if (! is_dir ( $directory )) {
die ( “Ubicación invalida.” );
}

$request = explode ( DIRECTORY_SEPARATOR, realpath ( $directory ) );

empty ( $request [0] ) ? array_shift ( $request ) : $request;
empty ( $root [0] ) ? array_shift ( $root ) : $root;

if (count ( array_diff_assoc ( $root, $request ) ) > 0) {
die ( “Ubicación invalida.” );
}

Lo otro que me resultó útil fue modificar el case de este código (http://us2.php.net/manual/en/function.header.php#102175) de manera que el default tirara un die ( “Archivo invalido.” ); para evitar extensiones no deseadas..

Saludos

Por: Zerial

Zerial — Fri, 20 Aug 2010 13:49:15 +0000

@fossie: Hola!

Yo creo que la razon de no usar el “@” es bastante simple, pues el desarrollo de aplicaciones requieren “debug” para detectar problemas y errores, existe un “bit” para activar y desactivar los errores, se puede hacer por el php.ini, por .htaccess o bien desde el mismo codigo php, si queremos quitar los errores simplemente se desactiva la muestra de errores. Si usamos las “@” para ocultar errores, cuando queramos activar y desactivar los errores tendriamos que editar todo el codigo fuente para agregar o quitar las @ de cada metodo o funcion que utilicemos.

saludos

Por: fossie

fossie — Fri, 20 Aug 2010 10:40:25 +0000

Y digo yo ¿porque nadie usa @readfile y @filesize ? poniendo la arroba antes de la función se eliminan los mensajes de error y de esta forma no apareceria el Full Path Disclosure

También se me ocurre que podriamos tener en la carpeta (o carpetas) desde la que permitimos la descarga un fichero del tipo “fichero.txt_descarga” (un fichero vacio por ejemplo) para indicar si se puede descargar o no, por ejemplo, si queremos descargar
$folder = “archivos/”;
$archivo = “docu.pdf”;
$enlace = “archivos/docu.pdf”;
$verificacion =”archivos/docu.pdf_descarga”
if (file_exists($verificacion)&&file_exists($enlace))
{ @readfile ($enlace); }

Es una dia, tal vez algo cutrecilla pero pienso que efectiva ya que si intentan descargar el /etc/passwd jamas existira el fichero /etc/passwd_descargar (si existe es que nos han vulnerado el servidor por otro lado ;D )

Por: Jac

Jac — Tue, 27 Oct 2009 14:01:27 +0000

Sobre proteger un directorio.

Pero sin .htaccess, sino con php, por ej cuando validas si la sesión no está activa en un php. Validar que la sesión no vea contenido de un directorio si no está activa.
Nosé si se puede con php.

Por: Jac

Jac — Tue, 27 Oct 2009 13:58:47 +0000

jajaja no me mustra el código, ahora sí:

function safe($value){
return mysql_real_escape_string($value);
}

Then, when I am using my code, I simply use:

$name = safe($_POST["name"]);
$password = safe($_POST["password"]);

Por: Jac

Jac — Tue, 27 Oct 2009 13:57:56 +0000

Buscando proteger mis archivos de sql inyec. encontré esto, se bastante útil, q opinan:

Then, when I am using my code, I simply use:

Por: Zerial

Zerial — Tue, 27 Oct 2009 12:57:20 +0000

@corridear: Hola! La variable $contenido tampoco se que funcion cumple (yo copie y pegue un download.php que me descargue de un sitio).

Sobre lo que dices en tu comentario anterior, pues si, tienes razon, pero yo solo busco “encaminar” para que encuentren el mejor metodo de validacion segun sus requerimientos.
Es cierto lo que dices de que no se puede confiar en los parametros de entrada del usuario (como el ID), pero lo que busco yo es que no puedan hacer directory transversal, lfi o rfi

saludos!

Por: corrideat

corrideat — Mon, 26 Oct 2009 21:05:37 +0000

Otra cosa que no me queda clara es la función de la variable $contenido.

Por: corrideat

corrideat — Mon, 26 Oct 2009 20:56:35 +0000

Francamente no creo que el segundo script resuelva el problema, porque seguirá arrojando un error cuando no exista el fichero.
La comprobación sobre los .., las barras etc. se deberían seguir haciendo aún cuando se use una base de datos, porque ninguna entrada del “usuario” debería ser confiable. Ni siquiera la base de datos. Por ejemplo, podría haber sido comprometida y estar siendo usada para obtener información sensible…
Lo que yo haría es una función que elimine los caracteres no permitidos (en general lo que no es alfanumérico), junto con otra función para la ruta (no es una mala idea usar usar el DOCUMENT_ROOT como un inicio, para no llegar a comprometer a los otros sitios, aún cuando guardáramos en una base de datos el nombre del directorio de descarga) y para verificar la existencia del archivo en primer lugar. Si se necesita seguridad adicional, se podría comprobar el uid/gid del fichero en cuestión.

Por: Zerial

Zerial — Tue, 20 Oct 2009 16:33:22 +0000

@Jac: Con el ID pueden probar e ir cambiando el ID para descargar otro archivo, si, pero a lo que voy yo, es que con ese “id”, aunque lo cambies, no podras descargar un archivo arbitrariamente, menos que este en otro directorio como /etc.

Sobre lo que preguntas.. proteger un directorio de qe forma? Puedes hacerlo por el htaccess.

saludos

Por: Jac

Jac — Tue, 20 Oct 2009 14:34:06 +0000

Wena, pero con ID igual pueden probar. Si quisiéramos que no hagan una descargar directa podría ser colocando el archivo fuera de la carpeta web y que se sólo accesible desde el archivo para descargar?
Saben si con sesiones php se puede proteger un directorio?
Eso, saludos.

Por: Zerial

Zerial — Sun, 18 Oct 2009 19:18:13 +0000

@Josep: Sep, estas en lo correcto. Para evitar eso podrías agregar una validación de que no existan “../” en la variable, pero ya tendrias un código lleno de parches y eso es asqueroso! Mejor hacerlo bien, mediante una query sql (pasando un ID) o derechamente usando el link duro hacia el fichero que deseas descargar.

Por: Josep

Josep — Sun, 18 Oct 2009 18:45:56 +0000

Apuesto a que en la segunda version puedes pasarle igualmente ../../../passwd por el parametro $_GET[‘archivo’] sin problemas.