Up- und Downloads (Mime-Type und Dateiname)

Basti · 04.01.2007, 15:38

Hi.

Ich würde gerne eine sowohl sichere, als auch einfach bedienbare Up-/Download-Komponente bauen.

Dazu zwei Fragen:

- Als Content-Type-Header würde ich beim Download gerne jeweils den Wert senden, der beim Upload auch übergeben wurde. Welche Werte sollte ich da filtern? (Fileinfo steht nicht zur Verfügung)

- Als vorgeschlagenen Dateinamen (im Content-Disposition-Header) würde ich gerne den internen Titel der Datei (UTF-8-Wert) + übergebene Extension (= Wert des Teilstrings nach dem letzten Punkt des beim Upload als Original-Name übergebenen Wertes) angeben. Soweit ich weiß beherrschen die gängigen FS UTF-8-Dateinamen (und auch in ausreichender Länge). NTFS akzeptiert, glaub ich, keinen Doppelpunkt und kein Backslash, oder? Was gäbe es noch für Einschränkungen (müssen z.B. Zeielnumbrüche rausgefiltert werden oder kann man die per Upload-Post-Request garnicht reinschmuggeln)?

Basti

robo47 · 04.01.2007, 18:27

hmm warum willst du den Content-Type den du beim Upload hattest (dem du ja imho nicht vertrauen solltest, weil er User-Input ist UND auch problematisch sein kann z.b. progressize Jpegs die mim IE hochgeladen werden die ja einen speziellen header haben, womit unter umständen andere Browser dann nichts anfangen können) ? wenn ich mir überlege, dass man dann bei sehr viele nur mit rechtsklick runterladen kann ist das vieleicht etwas störend oder ? (ich denke an: css, text, html, xml, was der Browser im Normalfall direkt anzeigt).

Betreffs erlaubten Zeichen:

http://www.microsoft.com/germany/tec...00349.mspx#EMF
und weitere Absätze in dem Dokument z.b. http://www.microsoft.com/germany/tec...00349.mspx#E5E)

Basti · 05.01.2007, 18:10

Zitat:

Zitat von robo47

hmm warum willst du den Content-Type den du beim Upload hattest (dem du ja imho nicht vertrauen solltest, weil er User-Input ist UND auch problematisch sein kann z.b. progressize Jpegs die mim IE hochgeladen werden die ja einen speziellen header haben, womit unter umständen andere Browser dann nichts anfangen können) ? wenn ich mir überlege, dass man dann bei sehr viele nur mit rechtsklick runterladen kann ist das vieleicht etwas störend oder ? (ich denke an: css, text, html, xml, was der Browser im Normalfall direkt anzeigt).

Die "Uploader" sind hier alles Mitarbeiter in verschiedenen Sozialen oder Pädagogischen Einrichtungen und bestücken da ihre eigenen Site-Bereiche wahrscheinlich hauptsächlich mit Word-, Powerpoint- und PDF-Dokumenten. (Profil: Gutwillige DAUs *g - aber auch mit Missbrauch rechne ich natürlich immer)

Ich weiß nicht, was die geschickteste Lösung ist, wenn ich finde eine browserinterne Ansicht eine feine Sache.

Meine Frage ist ja auch genau die, wie ich da schädliche Angaben filtern kann.

Zitat:

Betreffs erlaubten Zeichen:

Danke für die Links.

Basti

04.01.2007, 15:38	Nach oben #1
Basti Erfahrener Benutzer Registriert seit: 04.01.2006 Ort: Kassel Beiträge: 750	Up- und Downloads (Mime-Type und Dateiname) Hi. Ich würde gerne eine sowohl sichere, als auch einfach bedienbare Up-/Download-Komponente bauen. Dazu zwei Fragen: - Als Content-Type-Header würde ich beim Download gerne jeweils den Wert senden, der beim Upload auch übergeben wurde. Welche Werte sollte ich da filtern? (Fileinfo steht nicht zur Verfügung) - Als vorgeschlagenen Dateinamen (im Content-Disposition-Header) würde ich gerne den internen Titel der Datei (UTF-8-Wert) + übergebene Extension (= Wert des Teilstrings nach dem letzten Punkt des beim Upload als Original-Name übergebenen Wertes) angeben. Soweit ich weiß beherrschen die gängigen FS UTF-8-Dateinamen (und auch in ausreichender Länge). NTFS akzeptiert, glaub ich, keinen Doppelpunkt und kein Backslash, oder? Was gäbe es noch für Einschränkungen (müssen z.B. Zeielnumbrüche rausgefiltert werden oder kann man die per Upload-Post-Request garnicht reinschmuggeln)? Basti

04.01.2007, 18:27	Nach oben #2
robo47 BIN EIN KRASSA HELD!!!111 Registriert seit: 02.06.2005 Ort: weiher im tiefsten Odenwald Beiträge: 1.188	hmm warum willst du den Content-Type den du beim Upload hattest (dem du ja imho nicht vertrauen solltest, weil er User-Input ist UND auch problematisch sein kann z.b. progressize Jpegs die mim IE hochgeladen werden die ja einen speziellen header haben, womit unter umständen andere Browser dann nichts anfangen können) ? wenn ich mir überlege, dass man dann bei sehr viele nur mit rechtsklick runterladen kann ist das vieleicht etwas störend oder ? (ich denke an: css, text, html, xml, was der Browser im Normalfall direkt anzeigt). Betreffs erlaubten Zeichen: http://www.microsoft.com/germany/tec...00349.mspx#EMF und weitere Absätze in dem Dokument z.b. http://www.microsoft.com/germany/tec...00349.mspx#E5E) __________________ - Onlinetools - Mein Blog endlich mit RSS-Feed

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wie erfolgreiche Downloads zählen?	chgozdz	PHP-Programmierung	11	20.07.2007 16:15
type von hidden zu button bei input	lodee	JavaScript und AJAX	5	05.10.2006 12:58
[PHP] Download-Skript, Downloads mit download.php?id=x	Corvin	Tutorials	0	28.11.2005 16:28
createBevelBorder(int type,....)	Java17	Desktop-Applikationen und Grafik	2	20.03.2005 14:52

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken