PHP e grave problema di sicurezza !!!

Ciao a tutti.

Ho un problema molto grave con PHP

Il problema è su un upload ed è questo...

Nonostante i files con estensioni pericolose non vengano caricati (per cui se anche venisse uploadato un file con estensione php... questo viene bloccato...) in realtà se viene rinominato un file .php in un file .RAR (e dico solo rar non zip arj ... html.. od altro......) questo non solo non viene riconosciuto come file compresso, ma addirittura riesce ad eseguire il codice contenuto all'interno...

questo fatto è gravissimo per la sicurezza in quanto basta uploadare uno script php rinominato in rar per dare modo a chiunque di accedere all'intero spazio web assegnato....

Ora vi chiedo... è possibile bloccare questo bug ??

O comunque .. è possibile utilizzare una direttiva in .htaccess che imposti il chmod a 600 per tutti i files contenuti all'interno (dico solo i files e non la cartella in quanto se cambio il chmod alla cartella non riesco neanche + a visualizzare l'elenco dei files...)

Se è possibile potete aiutarmi e spiegarmi come impostarlo ??

(scusate l'ignoranza in materia :(( )

Accetto qualsiasi soluzione :)

Grazie per le eventuali risposte
JF

Parli del servizio di upload offeto da AV (che se non sbaglio è accessibile solo dal webmaser) o di uno script php per l'upload trovato su internet o che hai creato tu?
in questo caso basterebbe mettere, dopo che il file è stato copiato questo comando:

Codice PHP:

chmod("nome-del-file", 0600);


Intanto ti ringrazio per la risposta.

Per upload intendevo uno script php esterno che permette lo scambio di files.

Il comando che mi hai passato mi interessa molto :) ... non essendo pratico di php non so proprio le cose + elementari.. quindi vedo iniziare a studiare le cose più banali....

La cosa che mi aveva sconvolto è come un file con estensione .RAR venga interpretato anzichè downloadato come ad esempio fa un file .ZIP... mi sembra un baco piuttosto grosso... (ma forse è la mia ignoranza che non mi fa comprendere queste cose ;) )

altra cosa...

Ho provato ad utilizzare il file .htaccess (avendo i dovuti requisiti) per cercare di bloccare l'accesso ad alcuni ip utilizzando la seguente procedura
<Limit GET>
order allow,deny
deny from 128.23.45.
deny from 207.158.255.213
allow from all
</Limit>

Gli ip sono di esempio... ma questa ed altre prove mi hanno sempre restituito errore di sintassi....come devo impostarla ??

Grazie fin d'ora per le risposte...

Saluti
JF

[funcool]

Io non me ne intendo di .htaccess però visto che c'è:

Codice:

order allow,deny

Dovresti mettere prima gli allow e poi i deny.
Inoltre non dovresti completare il primo indirizzo IP.

Grazie del reply :)

Ho provato anche questo, ma nulla... può essere che non li gestisca ??

Saluti
JF