cs_aszqwx
Messages postés6Date d'inscriptionsamedi 7 juin 2008StatutMembreDernière intervention12 juin 2008
-
7 juin 2008 à 18:37
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 2012
-
12 juin 2008 à 18:51
Bonjour,
J'ai les codes qu'il me faut pour faire mon hébergeur d'images (uploader), mais j'ai déjà une fois été hacké (un imbécile a chargé autre chose qu'une image et a vidé tout le dossier qui contenait mes images).
Je souhaiterais donc sécuriser mon code. Que dois-je faire ?
P.S. Je suis un gros débutant, donc n'y allez pas trop fort dans les explication
P.S. 2 : mes fichiers sont download.php, index.php et resize.php
cs_aszqwx
Messages postés6Date d'inscriptionsamedi 7 juin 2008StatutMembreDernière intervention12 juin 2008 7 juin 2008 à 19:23
Bonsoir,
Merci pour la réponse. Comme je l'ai dit, je suis un grand débutant, donc je vais avoir du mal avec tout ça, sauf si on me dit bien quoi exactement et où le mettre ;-)
Que dois-je ajouter pour qu'il n'y ait que et absolument que les images qui soient acceptées ?
En fait, ce que le hacker a fait (pour que vous compreniez), c'est qu'il a su intégrer son vers en mettant un fichier nom.php.jpg
Et comme l'extension jpg est autorisée, ça a été accepté. Comment éviter ça ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
nicomilville
Messages postés3472Date d'inscriptionlundi 16 juillet 2007StatutMembreDernière intervention28 février 201436 7 juin 2008 à 19:27
tu fais une expression régulière qui vérifie qu'il n'y ai qu'un "." dans le fichier si c'est le cas tu fais les autres vérifications et si le fichier est bon tu l'accepte sinon tu ne l'accepte pas et tu fais ce que tu veus...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
nicomilville
Messages postés3472Date d'inscriptionlundi 16 juillet 2007StatutMembreDernière intervention28 février 201436 12 juin 2008 à 18:01
oui, au fait, merci coucou747 pour tes liens, cela m'a permis d'approfondir mes connaissances sur les failles, sutout sur les failles XSS car pour les autres, je n'ai pas tout compris...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
nicomilville
Messages postés3472Date d'inscriptionlundi 16 juillet 2007StatutMembreDernière intervention28 février 201436 12 juin 2008 à 18:44
ba alors faut vérifier quoi ? car dans tes explication tu explique aussi que vérifier l'extension ne sert a rien car on arrive facilement a faire passer un fichier sur le serveur et après avec telnet remettre son extension d'origine...
a++
Si la réponse vous convient, pensez : Réponse acceptée !
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 juin 2008 à 18:51
c'est tout le dileme... la verification de l'extention te sert a savoir si ton fichier sera executable ou non, mais ne t'informe pas sur son contenu...
la verification du mimetype ne t'apporte aucune info