SnOOpss
Messages postés571Date d'inscriptionsamedi 3 avril 2004StatutMembreDernière intervention 5 décembre 2013
-
15 déc. 2005 à 11:05
SnOOpss
Messages postés571Date d'inscriptionsamedi 3 avril 2004StatutMembreDernière intervention 5 décembre 2013
-
17 déc. 2005 à 11:33
Bonjour je doit faire un systeme d'upload sur un site, sans
inscriptions, donc le premier venu pourra uploader des fichiers sur le
serveur et je voulait avoir votre avis sur la securité de mon code.
WhiteDwarf
Messages postés510Date d'inscriptionsamedi 29 décembre 2001StatutMembreDernière intervention23 mai 2008 15 déc. 2005 à 11:52
Bah tout dépend de ce que les utilisateurs vont uploader...si c'est un des fichiers mp3, video, image, à ce moment là tu empêche l'upload d'autre fichiers...
----------------------
La lumière étant plus rapide que le son, un homme peu paraître brillant avant qu'il se mette a parler
-----------------
WhiteDwarf
Messages postés510Date d'inscriptionsamedi 29 décembre 2001StatutMembreDernière intervention23 mai 2008 15 déc. 2005 à 12:02
Désolé pour le flood, mais y'a un problème : lorsque tu isole l'extention tu ne prends pas en compte le fait que dans le nom du fichier il puisse y avoir plusieurs "." donc si jamais j'upload un fichier qui se nomme : page.lol.html le fichier devrais passer...
donc je te conseille de faire plutôt comme ca :
SnOOpss
Messages postés571Date d'inscriptionsamedi 3 avril 2004StatutMembreDernière intervention 5 décembre 2013 15 déc. 2005 à 21:20
J'ai refait des tests le fichier page.lol.html ne passe pas vu que le code prend uniquement la derniere extension.
Sur ton site Anthomicro j'ai vu la methode infaillible (???) pour les images avec la commande getimagesize().
Je pense que je vait rajouter ca vu que ce sera en grande partie des
images, mais si je voulait aussi permettre les .zip ???
Sinon encore une question la commande getimagesize() n'est elle pas trop gourmande en ressource serveur ???
Vous n’avez pas trouvé la réponse que vous recherchez ?
SnOOpss
Messages postés571Date d'inscriptionsamedi 3 avril 2004StatutMembreDernière intervention 5 décembre 2013 16 déc. 2005 à 13:02
En fait javais vu sur un site qu'il y avait moyen de gruger
$_FILES['userfile']['type']; a condition d'avoir son propre serveur
d'ou l'utilité de getimagesize() pour les images.
En fait c'etait pour savoir si quelqu'un voyait une faille dans mon
controle des extentions vu que je pense que ce sera le plus utile..
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 16 déc. 2005 à 23:00
tu contrôles que les extensions et quelques types basiques, si j'étais toi je mettrais seulement les types mime autorisés, par contre regarde la source de coucou qui permet de justement faire passer un faux type mime (d'où l'utilisation du getimagesize() pour les images)
<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li><li>Codes-php.net</li>
SnOOpss
Messages postés571Date d'inscriptionsamedi 3 avril 2004StatutMembreDernière intervention 5 décembre 2013 17 déc. 2005 à 11:33
C'est pour ca que je ne me fie pas au type mime, et que je compte surtout sur les extensions.
Je vire egalement les espaces au cas ou la personne mette fichier.php .jpg.
Et dans le cas present getimagesize() et fiable a 100/100 (je pense)
pour les images mais si c'est un autre format de fichier je suis obligé
de m'en remettre a mon controle d extensions.
Je vais laisser trainer ce post 1 jour ou 2 des fois que quelqu'un voye
une faille mais pour le moment je crois que je vais partir sur uploader
uniquement les images pour le libre accés et sur enregistrement pour
les format type *zip ou *.doc