Před 70 lety, 7. června 1954, ve věku 41 let, zemřel Alan Turing, britský matematik, logik, kryptoanalytik a zakladatel moderní informatiky.
NiceGUI umožňuje používat webový prohlížeč jako frontend pro kód v Pythonu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána ve verzi 2024.6. Z novinek lze vypíchnout lepší integraci LLM (OpenAI, Google AI, Ollama) nebo podporu Matter 1.3.
IKEA ve Spojeném království hledá zaměstnance do své nové pobočky. Do pobočky v počítačové hře Roblox. Nástupní mzda je 13,15 liber na hodinu.
Alyssa Rosenzweig se v příspěvku na svém blogu Vulkan 1.3 na M1 za 1 měsíc rozepsala o novém Vulkan 1.3 ovladači Honeykrisp pro Apple M1 splňujícím specifikaci Khronosu. Vychází z ovladače NVK pro GPU od Nvidie. V plánu je dále rozchodit DXVK a vkd3d-proton a tím pádem Direct3D, aby na Apple M1 s Asahi Linuxem běžely hry pro Microsoft Windows.
Byla vydána (𝕏) květnová aktualizace aneb nová verze 1.90 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.90 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Byla vydána (Mastodon, 𝕏) nová verze 2024.2 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení.
Počítačová hra Tetris slaví 40 let. Alexej Pažitnov dokončil první hratelnou verzi 6. června 1984. Mezitím vznikla celá řada variant. Například Peklo nebo Nebe. Loni měl premiéru film Tetris.
MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.23.0. V přehledu novinek je vypíchnuta podpora dynamických USB zařízení nebo nové moduly openamp, tls a vfs.
Canonical vydal Ubuntu Core 24. Představení na YouTube. Nová verze Ubuntu Core vychází z Ubuntu 24.04 LTS a podporována bude 12 let. Ubuntu Core je určeno pro IoT (internet věcí) a vestavěné systémy.
nie len klasicky vycucne riadok po riadku a hodi do <a href=""
chcem spravit mozno aby namiesto zobrazenia obsahu aby sa po kliknuti automaticky otvorili linky v prehliadaci
samozrejme mozes s ito dat ako private a tym padom mas chraneny priestor
zatial search nie je chranena a prehliadava aj ked uzivatel je nastaveny ako private
<form action="<?php
echo ("index.php?page=upload");
//$_SERVER['PHP_SELF'];
?>" method="post" name="fileForm" id="fileForm" enctype="multipart/form-data">
<h3>
<?php
echo "Upload súborov pre " . $meno
?>
</h3> <br/> <br/>
<table>
<tr><td><input style="border: 2px solid #DFDFDF;"
name="upfile" type="file" size="26">
<input style="background: #FFFFFF" class="text" type="submit" name="submitBtn" value="Upload"></td></tr>
</table>
</form>
<?php
if (isset($_POST['submitBtn'])){
?>
<div id="result">
<table width="100%">
<?php
$target_dir = $uploadLocation . $meno . "/";
if (!file_exists($target_dir )) {
mkdir($target_dir);
}
$target_path = $target_dir . basename( $_FILES['upfile']['name']);
$blacklist = array(".php.", ".php", ".phtml", ".php3", ".php4", ".php5", ".js", ".shtml", ".pl" ,".py" ,".xyz",".sh");
foreach ($blacklist as $file)
{
if(strpos($_FILES['upfile']['name'], $file)!==false)
{
echo "Chyba: Tento typ súboru je zakázané uploadovať.\n";
exit;
}
}
if(move_uploaded_file($_FILES['upfile']['tmp_name'], $target_path)) {
echo $Web . $target_dir . basename( $_FILES['upfile']['name']);
} else{
echo "Počas nahrávania nastala chyba!";
}
?>
</table>
</div>
<?php
}
?>
v korenovom priecinku musis mat subory
.htaccess
{
RewriteEngine off
RewriteRule .* index.html
Options -Indexes
}
.ftpqutoa
{
39 500815957
}
em... nahravani bigfile se uz takhle rozhodne nedela...
Zvladnu nahrat 8GiB file s defaultni konfiguraci php/apache (8MiB max upload size) bez jakychkoliv direktiv v .htaccess
Uhadnes jak ?
A uplne prvne bych zacal s HTML a css
pouzivas tag center ktery je zastaraly a v kodu mas i script end tag bez start tagu obrazky bez ALT, inline styly, michas anglicke a slovencke nazvy, hledani souboru pres readir neni dobry napad
pouzivat cool/nice urls taky neni k zahozeni
if ( (strpos($file, ".png")!==false) || (strpos($file, ".jpg")!==false) || (strpos($file, ".jpeg")!==false) || (strpos($file, ".PNG")!==false) || (strpos($file, ".JPG")!==false) )
Promin, ale uz zacinam chapat proc se o php(programatorech) rika to co se rika... osobne obdivuji tvou odvahu neco takoveho uverejnit a podepsat se pod to...
no jasne niekde su aj horsie casti sposobene mojou urovnou programovania, mam tam ale osetrene take veci aby sa nedalo nahrat html, php ci iny subor napriklad a je to stale vo vyvoji. nejako som si zvykol pouzivat center, stary zlozvyk budem to musiet nahradit cez div
nezmazes :D
$target_path = $target_dir . basename( $_FILES['upfile']['name']); $blacklist = array(".php.", ".php", ".phtml", ".php3", ".php4", ".php5", ".js", ".shtml", ".pl" ,".py" ,".xyz",".sh"); foreach ($blacklist as $file) { if(strpos($_FILES['upfile']['name'], $file)!==false) { echo "Chyba: Tento typ súboru je zakázané uploadovať.\n"; exit; } }
Tzn kdyz nahravany file obsahuje v nazvu neco z $blacklist tak se jde do exitu; (Hodne spatnej spusob jak ukoncit upload) i cela implementace je spatne, ale ucel plni, i kdyz ma bug a to takovy ze neprojde naprosto validni obrazek "ahoj.sh.jpg"
Jasne ze jde, jen tvurce tohoto blogu to nevi...
Cely ten kod je spatne, takhle by mel nejak vypadat:$target_path = $target_dir . basename( $_FILES['upfile']['name']); $blacklist = array("php", "phtml", "php3", "php4", "php5", "js", "shtml", "pl", "py", "xyz", "sh", "htaccess"); $pathinfo = pathinfo($target_path); if(!in_array($pathinfo['extension'], $blacklist)) { //Continue in upload } else { //Error }A samozrejme pro jistotu slozku se soubory zamknout pres .htaccess aby se v ni nedaly spustit PHP scripty + nenechavat souborum jejich puvodni jmena a pripony, udelat takovy mini VFS
Cely ten kod je spatneCelý ten kód je blbě z vícero důvodů. Čas mě přesvědčil, že jediný bezpečný způsob je vygenerovat nějaké náhodné jméno (md5+sha1 třeba), pod kterým soubor uložím. Do databáze si pak uložím původní jméno, pod kterým ten soubor nabídnu zase ke stažení. Je to trochu složité, ale alespoň to netrpí neduhama všech možných blacklistů.
if(!in_array($pathinfo['extension'], $blacklist))Uvedený kód je náchylný na staré dobré
soubor.php%00.jpg
, ne?
Ne touto chybou to netrpi, tedy alespon u PHP 5.3.6>
print_r(pathinfo('soubor.php%00.jpg'));
Array ( [dirname] => . [basename] => soubor.php%00.jpg [extension] => jpg [filename] => soubor.php%00 )
jinak kdyz neco takoveho delam tak take pouzivam DB do krete pri upload ulozim priponu, mime, size, a sha1 souboru a zda li je img, soubor ukladam jako sha1 bez pripony
NULL byte poisoning was fixed in PHP 5.3.4Takže je to ok, pokud nepoužije starší verzi :)
$target_path = $target_dir . basename( $_FILES['upfile']['name']);
$blacklist = array(".php.", ".php", ".phtml", ".php3", ".php4", ".php5", ".js", ".shtml", ".pl" ,".py" ,".xyz",".sh");
foreach ($blacklist as $file)
{
if(strpos($_FILES['upfile']['name'], $file)!==false)
{
echo "Chyba: Tento typ súboru je zakázané uploadovať.\n";
exit;
}
}
som za vodou, jednoducho ja viem koli comu som to nakodil takto a nie in_array
Čiže keď nahrám súbor zmazem-ti-disk.png.sh je to OK?Proc by to nebylo ok? To ze ho nahraju jeste neznamena ze ho spustim...
Asi som to mal pomenovať ináč, lebo každý sa chytá toho názvu a nevšíma si čo som tým chcel povedať.
Ide o to že ten test nezaručuje že testovaný súbor bude naozaj obrázok, ale že to môže byť prakticky čokoľvek.
Tiskni Sdílej: