Upload de fichier - interdire l'up de php. [Résolu]

Signaler
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008
-
Messages postés
138
Date d'inscription
vendredi 28 février 2003
Statut
Membre
Dernière intervention
29 février 2008
-
bonjour a tous


voila , jai un petit formulaire d'envoi de fichiers sur mon server
apache , mais je voudrais pouvoir empecher l'upload de fichier PHP,
comment proceder svp??


je suis pas un as du code , jai trouver sa , peut etre pourraije m'en servir >



  $type_file = $_FILES['fichier']['type'];


    if( !strstr($type_file, 'jpg') && !strstr($type_file,
'jpeg') && !strstr($type_file, 'bmp') &&
!strstr($type_file, 'gif') )

    {

        exit("Le fichier n'est pas une image");

    }



-----------

voici mon formulair d'upload>



                </td>
            </tr>
            <tr>
                <td width="689" bgcolor="#111010" bordercolordark="#CCCCCC" bordercolorlight= "#CCCCCC">
                     Status :</gras> 

                    <?php
if ($_FILES['fichier']['name'] ! = '') {
$destination = "- Fichiers envoyes sur le server -/".$_FILES['fichier']['name'];
if (is_uploaded_file($_FILES['fichier']['tmp_name'])) {
$upload = move_uploaded_file($_FILES['fichier']['tmp_name'], $destination) or die("impossible de déplacer le fichier"); }
echo '>> Fichier envoyé sur le serveur avec Succès. <<
>> Voici le lien vers votre fichier >>
>>   http://HORNYmusicSERVER.myftp.biz/server/';
echo str_replace(' ','%20',$destination);
echo '';
}
?>

17 réponses

Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

merci , mais j'ai trouvé sa et sa le fait

if (eregi(".php", $destination)) {
        $destination .= ".rtf";
    }
if (eregi(".txt", $destination)) {
        $destination .= ".rtf";
    }
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

je dirais meme (pour eviter les nullchar )

if (eregi(".php", $destination)) {
        $destination .= ".rtf";
    }
    if (eregi(".php/0", $destination)) {
        $destination .= ".rtf";
    }
if (eregi(".txt", $destination)) {
        $destination .= ".rtf";
    }
Messages postés
2483
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
17
Salut,

Bon ton code est tellemet fouilli que je ne regarde pas en détails.
Pour empêcher d'uploader un fichier .php, il suffit de vérifier son extension lors de l'upload et de ne pas copier le fichier uploadé dans le répertoire d'upload.
Le test doit se faire juste avant l'utilisation de move_uploaded_file
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut,

faut aussi penser a bloquer toutes les failles d'includes car si t'arrives a inclure dans une page php, un .txt qui contient du code, il sera execute

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

je patauge a mort les meks, je vous reposte mon code en propre

voici mon formulair d'upload>


 

<?php
if ($_FILES['fichier']['name'] != '') {
$destination = "- Fichiers envoyes sur le server -/".$_FILES['fichier']['name'];

if (is_uploaded_file($_FILES['fichier']['tmp_name'])) {
$upload = move_uploaded_file($_FILES['fichier']['tmp_name'], $destination) or die("impossible de déplacer le fichier"); }

echo
'
http://monsite.com/';
echo str_replace(' ','%20',$destination); // permet dafficher le lien du fichier uploadé.
}

?>



merci davance pour votre aide , je suis sur ke c'est juste 2 ptites lignes mais je ne trouves pas la commande...
si quelqu'un peut m'aider dans le futur pour utiliser cette commande , sa serait top , je veux dire , au niveau de la syntaxe du kode

merci a vous
Messages postés
2483
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
17
Salut,

T'as pas du chercher beaucoup, parce que la question "comment récupérer l'extension d'un fichier" a sûrement déjà été posée, elle est abordée dans une source récente, et on trouve des centaines de codes pour faire ça en prenant un peu de temps sur Google.

Ce que je te disais, c'est de vérifier l'extension, et si c'est .php annuler l'upload (supprimer le fichier temporaire).

Coucou747 attirait également ton attention sur le fait que tu dois faire attention à ce que tu fais du fichier uploadé.

Maintenant, si on doit t'écrire ton code, autant que tu nous fasses tout de suite une offre en Euros (je prends aussi les Francs Suisses)

Je suis certain qu'il existe déjà des sources (même sur phpCS) permettant d'uploader certains types de fichiers et pas d'autres. Va faire un tour par là, tu pourras certainement t'inspirer de ce qui a déjà été fait (tu peux même réutiliser une source, elles sont là pour ça).

Bonne continuation.
Messages postés
138
Date d'inscription
vendredi 28 février 2003
Statut
Membre
Dernière intervention
29 février 2008

Dans ma grande bonté, je te file la fonction que j'ai créée
Comme tu peux le voir il suffit de configurer la liste (array) des extensions autorisées

function upload($champ_files, &$nom_fichier_transfere, $repertoire_destination, &$message,
                $extensions_autorisees_array=array('pdf','jpg','jpeg','gif','png'),
                $taille_max_fichier=2000000, $chmod=755)
{    /*Fonction qui transfère un fichier sur le serveur.
    Retourne true si le transfert s'est déroulé correctement, false sinon.

    Liste des paramètres :
    - $champ_files : $_FILES['nom_du_champ']
    - $nom_fichier_transfere (donnée-resultat) : Nom que l'on veut donner au fichier transféré
                                                 (modifié automatiquement si un fichier porte
                                                 déjà le même nom)
    - $repertoire_destination : Chemin relatif du répertoire dans lequel on veut transférer le fichier
    - $message (donnée-resultat) : Message généré par lors du transfert
    - $extensions_autorisees : Tableau contenant la liste des extensions des fichiers autorisées
    - $taille_max_fichier : Taille maximale (en octets) autorisée pour le fichier à transférer                            (Aide : 1Ko 1000 octets; 1Mo 1000000 octets)
    - $chmod : Chmod du fichier transféré*/

    /*Initialisations*/
    $upload_reussi = false;
    $message = '';    $extension $str_formats_autorises '';
   

    /*On vérifie que $nom_fichier_transfere et $repertoire_destination ne soient pas vides*/    if ($nom_fichier_transfere '' OR $repertoire_destination '')
        $message = 'Erreur : Vous devez préciser un nom à donner au fichier à transférer ainsi qu\'un répertoire de destination';

    /*On vérifie que la taille du fichier à transférer n'est pas trop importante*/
    elseif ($champ_files["size"] > $taille_max_fichier) //Si la taille de la fic est supérieure à la taille max
    {
        $taille_max_autorisee = $taille_max_fichier / 1000;

        $message =  'Erreur : La taille du fichier que vous voulez transférer est trop grande.
'.br().
        'Taille maximale autorisée : '.$taille_max_autorisee.' Ko';
    }

    else //Aucune erreur pour le moment
    {
        /*On supprime les accents et caractèers spéciaux*/
        $nom_fichier_transfere = clearStr($nom_fichier_transfere);

        /*On récupère l'extension du fichier envoyé*/
        $extension_fichier = substr(strchr($champ_files["name"],'.'),1);

        /*On récupère la liste des formats autorisés et on vérifie si l'extension du fichier est autorisée*/
        $extension_autorisee = false; //Initialisation

        foreach ($extensions_autorisees_array as $extension)
        {
            $str_formats_autorises .= $extension.', ';

            /*On vérifie si l'extension du fichier est autorisée*/
            if (!$extension_autorisee AND $extension_fichier == $extension)
                $extension_autorisee = true;
        }

        /*Suppression de la ,(virgule) à la fin de $str_formats_aurorises*/
        $str_formats_autorises = implode(', ', $extensions_autorisees_array);

        if (!$extension_autorisee) //Si le format du fichier n'est pas valide
        {
            $message =     'Erreur : Le fichier que vous voulez transférer ne porte pas une extension autorisée.
'.br().
            'Extension du fichier que vous voulez transférer : '.$extension_fichier.'
'.br().
            'Extenstions autorisées : '.$str_formats_autorises;

        }
        else //Format valide
        {
            /*Si le fichier existe on le renomme de la forme nomDuFichier(X).extension*/

            /*Initialisations*/
            $i = 0;
            $extension = '.'.$extension_fichier;
            $nom_fichier_transfere = str_replace($extension,'',$nom_fichier_transfere);

            /*On renomme le fichier tant qu'un fichier porant le même nom existe*/
            while (file_exists($repertoire_destination.$nom_fichier_transfere.$extension))
            {
                /*Suppression de l'éventuel (X) existant*/
                $nom_fichier_transfere = str_replace('('.$i.')','',$nom_fichier_transfere);

                /*On incrémente le compteur*/
                $i++;

                /*Ajout de (X)*/
                $nom_fichier_transfere = str_replace($nom_fichier_transfere,$nom_fichier_transfere.'('.$i.')',$nom_fichier_transfere);
            }

            /*Nom de destination final*/
            $nom_fichier_transfere = $nom_fichier_transfere.$extension;

            if (is_uploaded_file($champ_files["tmp_name"])) //Si le fichier a été uploadé correctement
            {
                /*On renomme le fichier avec le nom du fichier envoyé (nom éventuellement maj)*/
                if (!rename($champ_files["tmp_name"], $repertoire_destination.$nom_fichier_transfere))
                {
                    $message .= "Envoi du fichier impossible";
                }
                else //Transfert réussi
                {
                    /*On modifie les chmod du fichier*/
                    chmod ($repertoire_destination.$nom_fichier_transfere,'0'.$chmod);

                    $upload_reussi = true; //Transfert réusssi

                    $message = "Le fichier a correctement été transféré !";
                }
            }
        }
    }
   
    return $upload_reussi;
}
Messages postés
138
Date d'inscription
vendredi 28 février 2003
Statut
Membre
Dernière intervention
29 février 2008

Avec ces deux autres fonctions :

/*Fonction qui supprime tous les caractères spéciaux et met éventuellement tout en minuscule*/
    function clearStr($str, $strToLower=true)
    {
        $str = strtr($str,"ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ","AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn");
        $str = ereg_replace('[^a-zA-Z0-9_.]','-',$str);
       
        if ($strToLower === true)
            $str = strtolower($str);
           
        return $str;
    }

/*Fonction qui renvoit le code permettant de faire un saut à la ligne dans un document*/
    function br()
    {
        return chr(10).chr(13);
    }
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

jte remerci pour ton aide mek!!! ;)

parc ontr je suis trop un blaireau....
et jarrives pas a m'en servir , c'est la prmiere fois que je mattaque au php (ou presque), et du kou je n esait pas commentulisez cette fonction dans mon code que j'ai laissé plus haut....

merci encore
Messages postés
138
Date d'inscription
vendredi 28 février 2003
Statut
Membre
Dernière intervention
29 février 2008

Salut,

Je veux pas jouer le rabas-joie mais le plus simple et le plus rapide est d'apprendre les rudimens du langage PHP.
Il y a plusieurs sites qui proposent de bons tutoriaux.

Je sais que c'est saoulant mais c'est la meilleure méthode pour apprendre "rapidement"

Bon courage
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut,

c'est du gachis d'utiliser une preg pour ca

Une recherche sur exalead vous aurait peut-etre evit
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

ben sa evite davoir un code de 3 pages de long pour une si petite fonction

pkois c'est du gachis?
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
 Salut,

une grosse perte de performances, un substr aurait suffit pour recuperer l'extention

Une recherche sur exalead vous aurait peut-etre evit
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

comment se servir ce cela dans un "echo" svp ?

/*Fonction qui renvoit le code permettant de faire un saut à la ligne dans un document*/
    function br()
    {
        return chr(10).chr(13);
    }
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut,

echo br();

Une recherche sur exalead vous aurait peut-etre evit
Messages postés
56
Date d'inscription
dimanche 27 novembre 2005
Statut
Membre
Dernière intervention
27 septembre 2008

beu...... genre sa >

echo br(str_replace(' ','%20',$destination));
 

?? je crois pas que cela marche chez moi  , je suis un peu peau'h'mé
Messages postés
138
Date d'inscription
vendredi 28 février 2003
Statut
Membre
Dernière intervention
29 février 2008

La fonction br() ne prend aucun paramètre.
En fait cette fonction ne sert à rien si ce n'est à la clarté du code source généré.
Elle permet de faire un retour à la ligne dans le code html généré (pour moi c'est utile, peut etre pas pour toi)