"Troels Arvin" <troels@arvin.dk> skrev i
<A7La6.55402$W81.580383@twister.sunsite.dk>:
>> ser så lige at det til syneladene er nuligt at sætte dette med et
>> hidden formular felt: MAX_FILE_SIZE value=noget. se mere på:
>
> Hidden FORM fields kan være meget godt til at advare browseren om, at
> der er er en grænse for, hvor meget der kan upload'es. Imidlertid er
> det ingen sikker metode til at begrænse upload fil-størrelser
> (formularfelt værdier kan sagtens modificeres, hvis der er tale om
> ondsindet og HTTP-kyndigt publikum).
jeg må ærligt indrømme at jeg ikke havde studeret det indgående inden
jeg postede. Du har sikkert ret mht. sikkerheden - i det mindste hvis
man bruger get[1] er det jo ret nemt at rette en variabel i selve
adressen.
> Der, hvor det batter, er at indstille det via php.ini:
> upload_max_filesize=8M
helt enig.
> (Hvis man benytter PHP med Apache, kan det også sættes via httpd.conf
så er vi ude i noget med de resource et cgi script kan trække?
> eller i .htaccess-filer, men så er syntaksen en anelse anderledes.)
Hvis ovenstående er sandt, er der så ikke tale om serverwide
configuration? Er jeg helt galt afmarcheret her?
[1] er lidt i tvivl om, hvorvidt get vil sende en filepointer eller
forsøge at sende selve filen til scriptet? hvis den sender selve filen
vil der jo være en naturlig grænse for størrelsen ved 254 (?) tegn,
eller hvad det nu er.
--
Mvh.
Sune B. Fibæk
<
http://fibaek.dk/> - eksempler på html, css og serverside (php/mysql)