Bloquer script php
spacedelta
Messages postés
107
Date d'inscription
jeudi 23 septembre 2010
Statut
Membre
Dernière intervention
20 novembre 2011
-
10 sept. 2010 à 18:56
spacedelta Messages postés 107 Date d'inscription jeudi 23 septembre 2010 Statut Membre Dernière intervention 20 novembre 2011 - 7 nov. 2010 à 12:29
spacedelta Messages postés 107 Date d'inscription jeudi 23 septembre 2010 Statut Membre Dernière intervention 20 novembre 2011 - 7 nov. 2010 à 12:29
A voir également:
- "Php variables" "php version 4.4.4" "build date" "server api"
- "Server api" "php version 4.4.4" "build date" "php variables" - Meilleures réponses
- "Build date" "php version 4.4.4" "server api" "php variables" - Meilleures réponses
- "Php version 4.4.3" "build date" "server api" "php variables" ✓ - Forum PHP
- Quels sont les variables ldap ?? - Forum ASP / ASP.NET
- Php version 4.4.4 build date server api php variables ✓ - Forum Delphi / Pascal
- "Php version 4.4.5" "build date" "server api" "php variables" - Forum PHP
- Php version 4.4.6 build date server api php variables ✓ - Forum C# / .NET
2 réponses
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
10 sept. 2010 à 22:54
10 sept. 2010 à 22:54
Salut,
Non tu n'obtiendras pas de script tout fait, cependant je te propose ce modèle très simple à implémenter :
1. Tu t'assure que c'est bien dans le répertoire d'upload que tu met tes fichiers : le nom de ces derniers pouvant comprendre des trucs genre ../ il te faut utiliser basename() sur le nom du fichier.
2. Tu interdit tout accès à ton répertoire d'upload (et à vrais dire tu ne dois jamais passer un lien vers ce dernier). Pour apache ça se traduit pas un "deny from all" dans la conf (.htaccess ou autre).
3. À la place de donner un lien vers le fichier (ce qui est extrêmement dangereux et dans le cas présent ne fonctionnera pas), tu donne le lien vers un script php.
4. Ce script récupère le nom du fichier en get, vérifie son existance, envoie les bons headeur puis réalise enfin un readfile().
Tu remarquera qu'il y a déjà un exemple dans la doc de readfile(). Il y a également énormément de doc sur le net à ce sujet.
Non tu n'obtiendras pas de script tout fait, cependant je te propose ce modèle très simple à implémenter :
1. Tu t'assure que c'est bien dans le répertoire d'upload que tu met tes fichiers : le nom de ces derniers pouvant comprendre des trucs genre ../ il te faut utiliser basename() sur le nom du fichier.
2. Tu interdit tout accès à ton répertoire d'upload (et à vrais dire tu ne dois jamais passer un lien vers ce dernier). Pour apache ça se traduit pas un "deny from all" dans la conf (.htaccess ou autre).
3. À la place de donner un lien vers le fichier (ce qui est extrêmement dangereux et dans le cas présent ne fonctionnera pas), tu donne le lien vers un script php.
4. Ce script récupère le nom du fichier en get, vérifie son existance, envoie les bons headeur puis réalise enfin un readfile().
Tu remarquera qu'il y a déjà un exemple dans la doc de readfile(). Il y a également énormément de doc sur le net à ce sujet.
spacedelta
Messages postés
107
Date d'inscription
jeudi 23 septembre 2010
Statut
Membre
Dernière intervention
20 novembre 2011
7 nov. 2010 à 12:29
7 nov. 2010 à 12:29
OK !!,
J'ai enfin compris...
Tu veux dire que à la place d'appeler "upload/fichier.php"
J'appellerais "upload/script.php?fichierdansledossierupload.php"
C'est ça ?
J'ai enfin compris...
Tu veux dire que à la place d'appeler "upload/fichier.php"
J'appellerais "upload/script.php?fichierdansledossierupload.php"
C'est ça ?
