Säkerhets koll av min sida innan nästa steg?

Tjenare, tänkte be er att kolla igenom säkerheten på min sida, innan jag går vidare med den.

Sidan i sig är början till en upload tjänst, där man kommer ha ett login + egen map.
Sidan är inte klar ännu. Men känner att det har kommit så långt att jag vill veta lite hur säkerheten är på den.

Sidan har:
Inloggning, med saltade lösenord(både dynamiskt o statiskt salt)
upladdnings funktionen.
-Kontroll av storlek
-Kontroll av filformat.
"egna mappen" BÖR endast ägaren till mapen och person med admin rättigheter komma åt..

Men, vill kolla så jag inte har missat/förbisett några säkerhetshål.

Kommande steg ifall inget är fel blir ju då design, samnt jobba vidare lite. Tex, så man kan skapa mappar och radera sånt man har laddat upp.
Sen när det är klart så blir det att fixxa mera disk utrymme till servern, samnten betydligt snabbare lina för resten den kör.

Okej, sidan hittar ni här: http://www.olol.mine.nu/upload/
Bevis för att den är min: Titeln på index.
OBS: Ber er inte att förstöra någonting, bara upptäcka hålen, så jag sedan kan åtgärda dem.

//Olol

http://www.olol.mine.nu/upload/hejsan/hej.php.raw
=)

oj..

Hur åtgärdar man enklast det, kan man få den att "vägra" att köra det som php, eller bör jag helt enkelt ta bort tillåtelsen att ha raw filer?

Säg till PHP att inte exekvera några filer i användarnas upload-mappar.

EDIT: Alternativt registrera alla tillåtna filändelser i apache så att det inte ber PHP att köra dem. Fast det föregående alternativet är att rekommendera.

Men, hur blir det då med index.php?
men, sen php är ju inte tillåtet att ladda upp, så man kanske kan få den att förbjuda all exekvering av koder, förutom av php filer själva?

Några bra nyckelord att söka på för att lära sig hur jag förhindrar php att köra koder i alla undermappar hos "upload" mappen?

Men bra.. Någon jävel har varit där och raderat allt.

För fan, låt hans sida vara! ._.

Ser ut som nån uberhaxxor har varit framme nu och pillrat.
Inte för att jag tittat på sidan tidigare, men den ser ganska tom ut just nu...

Tror det ska gå att lägga till detta i httpd.conf, är inte så het på apache tbh.

<Directory "/upload/">
php_admin_flag engine off
</Directory>

Fast det hade gjort så den inte kör index.php heller, ett alternativ är att lägga alla användarnas mappar i typ /var/www/users/[namn] och sedan blocka PHP i hela /users/*.

Eller om du gör en .htaccess i varje ny användares dir där du tar bort PHP-rättigheter.

Alternativt så väntar du tills någon mer kunnig kan ge ett bättre svar.

Killen som raderade sidan får gärna säga hur han gick tillväga.
Sidan är ivf återställd nu. Så ni kan prova vidare.

Skulle gärna veta hur man blockerar alla php filer, utom index.php eftersom den måste kunna köras i mappen..

Antagligen laddade han upp en shell, det går att ladda upp shells i typen .php.raw..

Okej, tog bort .raw från tillåtna format tillsvidare...

Hm, tycker inte att sidan fungerar särskilt bra...