Po po téměř roce vývoje od vydání verze 5.38 byla vydána nová stabilní verze 5.40 programovacího jazyka Perl (Wikipedie). Do vývoje se zapojilo 75 vývojářů. Změněno bylo přibližně 160 tisíc řádků v 1 500 souborech. Přehled novinek a změn v podrobném seznamu.
Uroš Popović popisuje, jak si nastavit Linux na desce jako Raspberry Pi Zero, aby je šlo používat jako USB „flešku“.
Andreas Kling oznámil, že jelikož už se nevěnuje nezávislému operačnímu systému SerenityOS, ale výhradně jeho webovému prohlížeči Ladybird, přičemž vyvíjí primárně na Linuxu, SerenityOS opustí a Ladybird bude nově samostatný projekt (nový web, repozitář na GitHubu).
Po dvou měsících vývoje byla vydána nová verze 0.13.0 programovacího jazyka Zig (GitHub, Wikipedie). Přispělo 73 vývojářů. Přehled novinek v poznámkách k vydání.
Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE.
Před 70 lety, 7. června 1954, ve věku 41 let, zemřel Alan Turing, britský matematik, logik, kryptoanalytik a zakladatel moderní informatiky.
NiceGUI umožňuje používat webový prohlížeč jako frontend pro kód v Pythonu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána ve verzi 2024.6. Z novinek lze vypíchnout lepší integraci LLM (OpenAI, Google AI, Ollama) nebo podporu Matter 1.3.
IKEA ve Spojeném království hledá zaměstnance do své nové pobočky. Do pobočky v počítačové hře Roblox. Nástupní mzda je 13,15 liber na hodinu.
Alyssa Rosenzweig se v příspěvku na svém blogu Vulkan 1.3 na M1 za 1 měsíc rozepsala o novém Vulkan 1.3 ovladači Honeykrisp pro Apple M1 splňujícím specifikaci Khronosu. Vychází z ovladače NVK pro GPU od Nvidie. V plánu je dále rozchodit DXVK a vkd3d-proton a tím pádem Direct3D, aby na Apple M1 s Asahi Linuxem běžely hry pro Microsoft Windows.
nie len klasicky vycucne riadok po riadku a hodi do <a href=""
chcem spravit mozno aby namiesto zobrazenia obsahu aby sa po kliknuti automaticky otvorili linky v prehliadaci
samozrejme mozes s ito dat ako private a tym padom mas chraneny priestor
zatial search nie je chranena a prehliadava aj ked uzivatel je nastaveny ako private
<form action="<?php
echo ("index.php?page=upload");
//$_SERVER['PHP_SELF'];
?>" method="post" name="fileForm" id="fileForm" enctype="multipart/form-data">
<h3>
<?php
echo "Upload súborov pre " . $meno
?>
</h3> <br/> <br/>
<table>
<tr><td><input style="border: 2px solid #DFDFDF;"
name="upfile" type="file" size="26">
<input style="background: #FFFFFF" class="text" type="submit" name="submitBtn" value="Upload"></td></tr>
</table>
</form>
<?php
if (isset($_POST['submitBtn'])){
?>
<div id="result">
<table width="100%">
<?php
$target_dir = $uploadLocation . $meno . "/";
if (!file_exists($target_dir )) {
mkdir($target_dir);
}
$target_path = $target_dir . basename( $_FILES['upfile']['name']);
$blacklist = array(".php.", ".php", ".phtml", ".php3", ".php4", ".php5", ".js", ".shtml", ".pl" ,".py" ,".xyz",".sh");
foreach ($blacklist as $file)
{
if(strpos($_FILES['upfile']['name'], $file)!==false)
{
echo "Chyba: Tento typ súboru je zakázané uploadovať.\n";
exit;
}
}
if(move_uploaded_file($_FILES['upfile']['tmp_name'], $target_path)) {
echo $Web . $target_dir . basename( $_FILES['upfile']['name']);
} else{
echo "Počas nahrávania nastala chyba!";
}
?>
</table>
</div>
<?php
}
?>
v korenovom priecinku musis mat subory
.htaccess
{
RewriteEngine off
RewriteRule .* index.html
Options -Indexes
}
.ftpqutoa
{
39 500815957
}
em... nahravani bigfile se uz takhle rozhodne nedela...
Zvladnu nahrat 8GiB file s defaultni konfiguraci php/apache (8MiB max upload size) bez jakychkoliv direktiv v .htaccess
Uhadnes jak ?
A uplne prvne bych zacal s HTML a css
pouzivas tag center ktery je zastaraly a v kodu mas i script end tag bez start tagu obrazky bez ALT, inline styly, michas anglicke a slovencke nazvy, hledani souboru pres readir neni dobry napad
pouzivat cool/nice urls taky neni k zahozeni
if ( (strpos($file, ".png")!==false) || (strpos($file, ".jpg")!==false) || (strpos($file, ".jpeg")!==false) || (strpos($file, ".PNG")!==false) || (strpos($file, ".JPG")!==false) )
Promin, ale uz zacinam chapat proc se o php(programatorech) rika to co se rika... osobne obdivuji tvou odvahu neco takoveho uverejnit a podepsat se pod to...
no jasne niekde su aj horsie casti sposobene mojou urovnou programovania, mam tam ale osetrene take veci aby sa nedalo nahrat html, php ci iny subor napriklad a je to stale vo vyvoji. nejako som si zvykol pouzivat center, stary zlozvyk budem to musiet nahradit cez div
nezmazes :D
$target_path = $target_dir . basename( $_FILES['upfile']['name']); $blacklist = array(".php.", ".php", ".phtml", ".php3", ".php4", ".php5", ".js", ".shtml", ".pl" ,".py" ,".xyz",".sh"); foreach ($blacklist as $file) { if(strpos($_FILES['upfile']['name'], $file)!==false) { echo "Chyba: Tento typ súboru je zakázané uploadovať.\n"; exit; } }
Tzn kdyz nahravany file obsahuje v nazvu neco z $blacklist tak se jde do exitu; (Hodne spatnej spusob jak ukoncit upload) i cela implementace je spatne, ale ucel plni, i kdyz ma bug a to takovy ze neprojde naprosto validni obrazek "ahoj.sh.jpg"
Jasne ze jde, jen tvurce tohoto blogu to nevi...
Cely ten kod je spatne, takhle by mel nejak vypadat:$target_path = $target_dir . basename( $_FILES['upfile']['name']); $blacklist = array("php", "phtml", "php3", "php4", "php5", "js", "shtml", "pl", "py", "xyz", "sh", "htaccess"); $pathinfo = pathinfo($target_path); if(!in_array($pathinfo['extension'], $blacklist)) { //Continue in upload } else { //Error }A samozrejme pro jistotu slozku se soubory zamknout pres .htaccess aby se v ni nedaly spustit PHP scripty + nenechavat souborum jejich puvodni jmena a pripony, udelat takovy mini VFS
Cely ten kod je spatneCelý ten kód je blbě z vícero důvodů. Čas mě přesvědčil, že jediný bezpečný způsob je vygenerovat nějaké náhodné jméno (md5+sha1 třeba), pod kterým soubor uložím. Do databáze si pak uložím původní jméno, pod kterým ten soubor nabídnu zase ke stažení. Je to trochu složité, ale alespoň to netrpí neduhama všech možných blacklistů.
if(!in_array($pathinfo['extension'], $blacklist))Uvedený kód je náchylný na staré dobré
soubor.php%00.jpg
, ne?
Ne touto chybou to netrpi, tedy alespon u PHP 5.3.6>
print_r(pathinfo('soubor.php%00.jpg'));
Array ( [dirname] => . [basename] => soubor.php%00.jpg [extension] => jpg [filename] => soubor.php%00 )
jinak kdyz neco takoveho delam tak take pouzivam DB do krete pri upload ulozim priponu, mime, size, a sha1 souboru a zda li je img, soubor ukladam jako sha1 bez pripony
NULL byte poisoning was fixed in PHP 5.3.4Takže je to ok, pokud nepoužije starší verzi :)
$target_path = $target_dir . basename( $_FILES['upfile']['name']);
$blacklist = array(".php.", ".php", ".phtml", ".php3", ".php4", ".php5", ".js", ".shtml", ".pl" ,".py" ,".xyz",".sh");
foreach ($blacklist as $file)
{
if(strpos($_FILES['upfile']['name'], $file)!==false)
{
echo "Chyba: Tento typ súboru je zakázané uploadovať.\n";
exit;
}
}
som za vodou, jednoducho ja viem koli comu som to nakodil takto a nie in_array
Čiže keď nahrám súbor zmazem-ti-disk.png.sh je to OK?Proc by to nebylo ok? To ze ho nahraju jeste neznamena ze ho spustim...
Asi som to mal pomenovať ináč, lebo každý sa chytá toho názvu a nevšíma si čo som tým chcel povedať.
Ide o to že ten test nezaručuje že testovaný súbor bude naozaj obrázok, ale že to môže byť prakticky čokoľvek.
Tiskni Sdílej: