PHP / unzip / auf PWD prüfen

Wenn du den Passwort-Parameter wegnimmst sollte er dir nen Fehler ausspucken, wenn das Archiv geschützt ist. Aber damit kannst du dir böse viren auf deinen Server holen, das würd ich lassen.

Aber vielleicht hilt dir das hier weiter: http://www.pkware.com/documents/casestudies/APPNOTE.TXT
dann kannst du selbst mit sicherheit prüfen, ob die Datei verschlüsselt ist.

Was das testen angeht kann ich dir etwas helfen:

Zitat von unzip --help

UnZip 6.00 of 20 April 2009, by Debian. Original by Info-ZIP.

Usage: unzip [-Z] [-opts[modifiers]] file[.zip]
[list] [-x xlist] [-d exdir]
Default action is to extract files in list, except those in xlist, to exdir;
file[.zip] may be a wildcard. -Z => ZipInfo mode ("unzip -Z" for usage).

-p extract files to pipe, no messages -l list files (short format)
-f freshen existing files, create none -t test compressed archive data
-u update files, create if necessary -z display archive comment only
-v list verbosely/show version info -T timestamp archive to latest
-x exclude files that follow (in xlist) -d extract files into exdir
modifiers:
-n never overwrite existing files -q quiet mode (-qq => quieter)
-o overwrite files WITHOUT prompting -a auto-convert any text files
-j junk paths (do not make directories) -aa treat ALL files as text
-U use escapes for all non-ASCII Unicode -UU ignore any Unicode fields
-C match filenames case-insensitively -L make (some) names lowercase
-X restore UID/GID info -V retain VMS version numbers
-K keep setuid/setgid/tacky permissions -M pipe through "more" pager
-O CHARSET specify a character encoding for DOS, Windows and OS/2 archives
-I CHARSET specify a character encoding for UNIX and other archives

See "unzip -hh" or unzip.txt for more help. Examples:
unzip data1 -x joe => extract all files except joe from zipfile data1.zip
unzip -p foo | more => send contents of foo.zip via pipe into program more
unzip -fo foo ReadMe => quietly replace existing ReadMe if archive file newer

Alles anzeigen

Das einzige, was dir der Befehl vllt hilft, ist: wenn du unzip -t datei.zip mit einem Verschüsselten Archiv machst wird nach dem Passwort gefragt.

Es gibt aber auch eine ZIP-Extension für PHP, die sollte Passwörter auch erkennen können.

die ZipArchive extension erkennt leider keine Passwörter. Da es dir aber ja scheinbar darum geht, ungeschützte Archive zu verbieten könntest du doch die Extension verwenden, etwa so:

$zip = new ZipArchive;
if ( file_exists($source) )
{
    if ( $zip->open($source); )
    {
        // Code, wenn ungeschützt...
    }
    else
    {
        // Kann nicht geöffnet werden
        // Passwortgeschützt wird angenommen


        $output = shell_exec("unzip -P $pwd $source -d $des");
    }
}
else
{
    // Pfad falsch
}

Das braucht natürlich noch etwas feinere Überprüfungen, aber sollte mal als Anstoss reichen.

Zitat von Olz

Kann es sein, dass der open-Befehl auch bei geschützten Verzeicnissen noch ausgeführt wird und nur das öffnene der Dateiinhalte im Verzeichnis dann verweigert wird?

Die Zip-Bibliothek von PHP unterstützt keine Passwortfunktionen. Was genau passiert kann ich aber nicht sagen, da ich es nie angewandt habe.

Da liest du aber das gesammte archiv, es würde aber ein einziger Byte reichen:

$buf = zip_entry_read($zip_entry, 1);

An sonsten ist das wohl das beste, was man hinbekommt. Nicht viel anders sähe das in höheren Programmiersprachen aus (nur dass die möglicherweise eine Funktion haben, die auf ein Passwort prüft und/oder Exceptions werfen, wenn ein Passwort gesetzt ist).