Bloquer script php

Signaler
Messages postés
107
Date d'inscription
jeudi 23 septembre 2010
Statut
Membre
Dernière intervention
20 novembre 2011
-
Messages postés
107
Date d'inscription
jeudi 23 septembre 2010
Statut
Membre
Dernière intervention
20 novembre 2011
-
Bonjour,
Je cherche un script .htaccess ou php ou autre qui pourrait bloquer des scripts php se trouvant dans un dossier.
Pourquoi ?
Car j'ai fait un espace de téléchargement pour les internautes venant sur mon site peuvent uploader/télécharger des fichiers
provenant de personnes différentes. Par contre, je crains que certains s'amuse à mettre des virus qui se lance tout seuls
en php ou d'en un autre langage.
vous allez me dire :
"T'a qu'a ne pas le faire !!" Ouais je sais mais bon,
C'est pour le fun

2 réponses

Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
Salut,

Non tu n'obtiendras pas de script tout fait, cependant je te propose ce modèle très simple à implémenter :
1. Tu t'assure que c'est bien dans le répertoire d'upload que tu met tes fichiers : le nom de ces derniers pouvant comprendre des trucs genre ../ il te faut utiliser basename() sur le nom du fichier.
2. Tu interdit tout accès à ton répertoire d'upload (et à vrais dire tu ne dois jamais passer un lien vers ce dernier). Pour apache ça se traduit pas un "deny from all" dans la conf (.htaccess ou autre).
3. À la place de donner un lien vers le fichier (ce qui est extrêmement dangereux et dans le cas présent ne fonctionnera pas), tu donne le lien vers un script php.
4. Ce script récupère le nom du fichier en get, vérifie son existance, envoie les bons headeur puis réalise enfin un readfile().

Tu remarquera qu'il y a déjà un exemple dans la doc de readfile(). Il y a également énormément de doc sur le net à ce sujet.
Messages postés
107
Date d'inscription
jeudi 23 septembre 2010
Statut
Membre
Dernière intervention
20 novembre 2011

OK !!,
J'ai enfin compris...
Tu veux dire que à la place d'appeler "upload/fichier.php"
J'appellerais "upload/script.php?fichierdansledossierupload.php"
C'est ça ?