CONNAITRE SI LE FICHIER UPLOADER N'EST PAS UN FICHIER PHP
LocalStone
Messages postés
514
Date d'inscription
mercredi 19 mars 2003
Statut
Membre
Dernière intervention
1 mars 2009
-
26 déc. 2006 à 08:36
aze555666 Messages postés 208 Date d'inscription mardi 13 avril 2004 Statut Membre Dernière intervention 26 janvier 2009 - 3 janv. 2007 à 22:59
aze555666 Messages postés 208 Date d'inscription mardi 13 avril 2004 Statut Membre Dernière intervention 26 janvier 2009 - 3 janv. 2007 à 22:59
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/40856-connaitre-si-le-fichier-uploader-n-est-pas-un-fichier-php
https://codes-sources.commentcamarche.net/source/40856-connaitre-si-le-fichier-uploader-n-est-pas-un-fichier-php
3 janv. 2007 à 22:59
3 janv. 2007 à 16:16
2 janv. 2007 à 19:02
@coucou747 il me semble qu'il y a un site asp sur codes sources, le probleme est donc entier. Heuresement donc que ce sont en fait des zip.
2 janv. 2007 à 12:51
2 janv. 2007 à 09:33
2 janv. 2007 à 01:16
Pour reprendre le débat, on peut peut-ête éviter de se battre en utilisant la fonction de kankrelune lorsqu'un script php du site utilise un include non fixe (je veux dire qui d'inclue pas toujours le même fichier c'est à dire include('&fichier') plutot que include'machin.txt')), et se contenter de vérifier les extensions "à risque" (ce qui dépend du serveur, mais il suffit alors à chacun de lister dans le code php les extensions interdites une bonne fois pour toutes, plutot que de parser le php.ini à chaque exécution) lorsque ce n'est pas le cas.
28 déc. 2006 à 16:12
28 déc. 2006 à 15:23
28 déc. 2006 à 15:19
@ tchaOo°
28 déc. 2006 à 15:19
28 déc. 2006 à 15:10
28 déc. 2006 à 15:00
$pos=strpos($file,"<?");
if($i===false){
return true;
}else{
if(substr($file,$pos,3)=="xml")
return false;
else
return true;
}
28 déc. 2006 à 14:23
<?xml ?>
<?php echo 'dans l\'os';
<?xml ?>
ça risque de passer... .. .
@ tchaOo°
28 déc. 2006 à 14:08
28 déc. 2006 à 14:04
@ coucou747... oui sauf que, comme dit plus haut, strpos ne fera pas la différence entre <?, <?php et <?xml... le preg_match est donc préférable... ou alors il faut faire des multiple strpos et je suis pas sûr du gain en perf... .. . ;o)
@ tchaOo°
28 déc. 2006 à 13:40
explique bien cette faille ça aide plus les autres(aussi moi ;p)
28 déc. 2006 à 11:35
include('path/'.$_GET['file']);
si ton upload accèpte un .png qui contient :
<?php
echo '<hr />'.$password_mysql.'<hr/>';
?>
ça peut être une très mauvaise chose...
salon moi, strpos devrait remplacer ce code, mais la méthode est la bonne
28 déc. 2006 à 09:12
j'arrive après la guerre on dirait...mais j'ai passé un très bon Noël ;-)
Bon, j'interviens juste pour dire que ce code va rester, déjà.
Et pour donner mon avis : tel que je le vois ici, même si sa place serait plutôt dans les snippets (www.codyx.org, je le rappelle), il me plait bien. Certes, ça peut être lourd, mais c'est efficace. Et dans le cadre d'un upload, il faut voir qu'il sera rare que l'on ait à utiliser cette fonction 20 fois d'affilée...ou sur un gros fichier.
Pour reprendre cet exemple :
"
Pour faire un hello world en php, il faut faire :
<?php echo 'Hello World'; ?>
Voilà ! A la prochaine !
"
perso, je ne laisserais pas un mec uploader ce genre de fichier sur mon serveur web...c'est la porte ouverte à toutes les fenêtres, comme dirait l'autre.
Quand bien même aurais-je la main sur mon serveur, d'ailleurs : question de principe ;-)
27 déc. 2006 à 16:11
@ tchaOo°
26 déc. 2006 à 22:38
26 déc. 2006 à 20:37
@ tchaOo°
26 déc. 2006 à 17:20
Mais sur Windows, ou sur tout autre configuration apache ou le php.ini ne fait qu'un seul et même fichier, ça risque d'être lourd...
26 déc. 2006 à 17:02
@ tchaOo°
26 déc. 2006 à 16:58
Par contre lorsque tu vas sur ce fichier en effet le serveur le traite en fonction de sa configuration... .. .
@ tchaOo°
ps : je ne dirais pas horrible... lourd sans ausun doute... mais si tu as une meilleur solution... .. ?
26 déc. 2006 à 16:57
if(!is_file($fichier))
return false;
a mon avis cette vérif ce fait avant l'utilisation de la fonction,
car
true:ya du code php
false: ya po
!!
26 déc. 2006 à 16:38
Les serveurs Apache, IIS, lighTTPD, etc. peuvent être configurés tels qu'ils fassent interpréter les fichiers HTML par PHP.
Cela dépend donc du serveur...
Sinon, si c'est pour tester la présence de code PHP, on est d'accord, ça teste bien, même si la façon de faire est vraiment horrible.
Après, si c'est pour vérifier la présence de code PHP QUI VA ÊTRE EXECUTÉ, alors là, non, je ne suis pas d'accord :)
26 déc. 2006 à 16:17
Naixn, no comment.
-mais en peut encore améliorer la fonction
amicalelment
26 déc. 2006 à 15:57
include('monfichier.txt');
le fichier sera éxécuté...
echo file_get_contents('monfichier.php');
le fichier ne sera pas éxécuté... mais je pense que je ne t'apprend rien... .. .
Donc le but ici est juste de tester la présence de code php... point... et cette fonction (ou plutot la version que je donne) le fait très bien... .. . ;o)
@ tchaOo°
26 déc. 2006 à 15:52
Certes tous les fichiers PHP seront reconnus, mais certains qui ne le sont pas le seront aussi.
Avoir un système qui fonctionne sur de faux-positifs ne peut pas, à mon goût, être qualifié de fiable...
26 déc. 2006 à 15:47
@ tchaOo°
26 déc. 2006 à 15:45
Elle n'est pas fiable du tout !
Regarde bien mon exemple dans mon commentaire au dessus du tiens !
26 déc. 2006 à 15:40
<?php
function is_php($fichier)
{
if(!is_file($fichier))
return false;
return (bool)preg_match('~<\?[^xml]~i',file_get_contents($fichier));
}
?>
@ tchaOo°
26 déc. 2006 à 15:25
Exemple, je créé un fichier qui s'appelle "exemple de fichier PHP.txt"
Avec le contenu suivant :
"
Pour faire un hello world en php, il faut faire :
<?php echo 'Hello World'; ?>
Voilà ! A la prochaine !
"
Eh bien mon fichier contient les extensions PHP, pourtant ça n'en est pas un :-/
Le problème avec le type MIME, c'est que pour un fichier PHP, ça donnerait :
text/plain
Or, c'est aussi le cas des fichier TXT, HTML, etc.
Donc ça ne serait pas du tout efficace non plus.
26 déc. 2006 à 14:45
mais reste à voir d'autres techniques plus simple,
par exemple la technique de verification d'extenstion :
<?php
//On fait un tableau contenant les extensions autorisées.
//Comme il s'agit d'un avatar pour l'exemple, on ne prend que
//des extensions d'images.
$extensions = array('.png', '.gif', '.jpg', '.jpeg');
// récupère la partie de la chaine à partir du dernier . pour
//connaître l'extension.
$extension = strrchr($_FILES['avatar']['name'], '.');
//Ensuite on teste
if(!in_array($extension, $extensions))
//Si l'extension n'est pas dans le tableau
{
$erreur = 'Vous devez uploader un fichier de type png, gif, jpg, jpeg, txt ou doc...';
}
?>
//Cette méthode est une première approche qui nous suffit pour
//le moment mais, en réalité, il faudrait vérifier le type MIME
//des fichiers uploadés.
26 déc. 2006 à 14:41
Je sais qu'avec ma configuration apache, il me suffirait de parser le fichier :
/etc/apache2/mods-available/php5.conf
Dans lequel j'ai (entre autre) :
AddType application/x-httpd-php .php .phtml .php3 .html .htm .inc .selected .txt .xml
Ce qui permet de connaître quels sont les fichiers qui peuvent être des fichiers PHP.
Après, ça dépend de la conf PHP de chacun... Et en plus ça marche pas sur Windows =D
P.S.: Oui ! Je sais c'est over dégueulasse les fichiers .txt/.xml parsés par PHP. Mais c'est pas moi qui choisi :(
26 déc. 2006 à 13:52
A la rigueur, vous avez toujours l'URL Rewriting, mais bon, vu que c'est pas toi qui décide .... ;-)
La solution par l'extension me parait être une bonne chose, si on a pas le serveur configuré comme à la boite de Naixn :-P
26 déc. 2006 à 13:48
a ton avis c quoi la solution,
je sais que ma méthode est tres lourde sur le serveur, mais ca, est valable pour les gros fichiers.
par contre ,et pour les fichiers dont la tailles est inferieur à 1Mega, yaura po des probs.
tu peut nous proposer une methode nickel?surtt que té d'accord que
" la reconnaissance par l'extension n'a jamais été une bonne chose !"
amicalement.
26 déc. 2006 à 12:52
Pendant un temps, c'était pour le référencement mais bon...
Mais en fait là, maintenant, les fichiers html, tu peux renommer en php c'est pareil, y'a des tags <?php ?> etc.
Enfin c'est pas moi qui ai choisi hein ! C'était déjà comme ça avant que j'arrive en fait =)
26 déc. 2006 à 12:51
26 déc. 2006 à 12:35
26 déc. 2006 à 11:40
26 déc. 2006 à 11:24
A mon boulot, par exemple, les fichiers HTML sont aussi envoyés à PHP.
De toute façon, la reconnaissance par l'extension n'a jamais été une bonne chose !
26 déc. 2006 à 11:05
26 déc. 2006 à 09:57
Il suffirait que je fasse :
<html>
<head>
<title><?php echo $conf['title']; ?></title>
</head>
<?php
do_something();
?>
</html>
Et là, son truc ne marche pas...
Mais quoiqu'il en soit, ce serait vraiment porc de lire l'ensemble du fichier pour vérifier si c'est un fichier PHP.
Imaginez : si quelqu'un upload une vidéo de 500Mo, le script PHP va faire des fgets() en masse dessus ?
Bref, 1 pour la source.
Je doute même qu'elle ne reste très longtemps.
26 déc. 2006 à 08:36
++ !