cho em hỏi chuyện này một tý
nếu ta làm một trang upload, trong trang đó, khi click OK thì sẽ xử lý một đoạn script để test kiểu file sẽ upload và độ lớn, như vậy thì nếu một ai đó, sửa mã nguồn của trang HTML đó, và chạy lại để upload thì kể như chúng ta tiêu rồi.
ý tưởng của em, là cứ để họ up lên, chúng ta sẽ âm thầm ghi lên một thư mục temp. sau đó, trong script PHP, khi xử lý action upload, chúng ta sẽ test kiểu file lần lượt, cái này đúng thì lưu sang một folder khác, không thì del.
Vậy em xin hỏi là ý tưởng đó có được không? vì em chỉ sợ khi chúng ta viết phần upload, nếu không khéo thì website sẽ dễ dàng bị hack. xin chỉ giúp

miễn là bạn hạn chế sử dụng hidden field ( hoặc hạn chế lưu giữ thông tin quan trọng trong hidden field) là được rồi

hãy áp dụng cả hai, cả trên server và client.
Nếu sợ ngưòi ta upload linh tinh thì mấy file như htm, html, php, php3 .... không cho upload nữa hoặc nếu có thì đổi thành .htm.bak, html.bak, php.bak.....

Hiện nay có các phiên bản tạo forum, vậy em có thể hỏi là phiên bản nào là tốt và tiện dụng nhất, nếu có trên dĩa cd thì càng tốt, hoạc có thể download phiên bản đó ở đâu kính mong ai bít trả lời dùm em.

IBF đang thịnh hành nhất !
...hoặc......
nếu bạn sành điệu về PHP thì bạn có thể nhái theo IBF mà viết một forum của riêng bạn. Sẽ là bảo mất tuyệt vời... nhưng đừng có chép code rùi sửa Skin nha !

Trước đây mình cũng đã từng làm vài web site để upload các file rồi nhưng mình chưa thử kiểm tra tên file .
Nhưng theo mình thì khi upload thì bạn phải làm một CSDL để lưu trữ thông tin về file mà bạn up (tên file , đường dẫn , ngày up v.v..) và bạn muốn hạn chế kiểu file khi upload thì bạn chỉ cần làm một phép toán lọc tên của các file upload ngay trên form up . Nếu đúng các kiểu file mà bạn cho up thì OK còn nếu không thì không cho up lên .
Còn nếu bạn dùng cơ chế lưu sang một thư mục khác thì đó cúng là một ý tưởng hay nhưng nếu bạn làm một web site mà phải lưu chuyển dữ liệu đến 2 lần (1 lần upload lên và 1 lần di chuyển thư mục ) thì có vẽ không tối ưu lắm về tốc độ và khả năng sữ lý của web site .
Đó chỉ là ý kiến của mình mà thôi . Các bạn có ý kiến nào khác không ?!

nếu thế, ta chỉ cần xoá file vừa up lên thôi.

to ngutinhoc: nếu như lọc trong file HTML thì hacker không biết save as lại và sửa code à? em suy nghĩ chỗ đó đó

Ko bít ngoài cách up trên web(FPT, freewebs) còn có phần mềm nào hỗ trợ up ko hà, ai bít trả lời giùm cứa.