upload de fichier - interdire l'up de php.Résolu

Question

bonjour a tous voila , jai un petit formulaire d'envoi de fichiers sur mon server apache , mais je voudrais pouvoir empecher l'upload de fichier PHP, comment proceder svp?? je suis pas un as du code , jai trouver sa , peut etre pourraije m'en servir > $type_file = $_FILES['fichier']['type']; if( !strstr($type_file, 'jpg') && !strstr($type_file, 'jpeg') && !strstr($type_file, 'bmp') && !strstr($type_file, 'gif') ) { exit("Le fichier n'est pas une image"); } ----------- voici mon formulair d'upload> Status : > Fichier envoyé sur le serveur avec Succès. << >> Voici le lien vers votre fichier >> >>

cs_pipouz · Accepted Answer

merci , mais j'ai trouvé sa et sa le fait

if (eregi(".php", $destination)) {
        $destination .= ".rtf";
    }
if (eregi(".txt", $destination)) {
        $destination .= ".rtf";
    }

neigedhiver · Answer

Salut,

Bon ton code est tellemet fouilli que je ne regarde pas en détails.
Pour empêcher d'uploader un fichier .php, il suffit de vérifier son extension lors de l'upload et de ne pas copier le fichier uploadé dans le répertoire d'upload.
Le test doit se faire juste avant l'utilisation de move_uploaded_file

coucou747 · Answer

Salut,

faut aussi penser a bloquer toutes les failles d'includes car si t'arrives a inclure dans une page php, un .txt qui contient du code, il sera execute

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

cs_pipouz · Answer

je patauge a mort les meks, je vous reposte mon code en propre

 voici mon formulair d'upload>

 

 

<?php
if ($_FILES['fichier']['name'] != '') {
$destination = "- Fichiers envoyes sur le server -/".$_FILES['fichier']['name'];

if (is_uploaded_file($_FILES['fichier']['tmp_name'])) {
$upload = move_uploaded_file($_FILES['fichier']['tmp_name'], $destination) or die("impossible de déplacer le fichier"); }

echo
'

neigedhiver · Answer

Salut,

T'as pas du chercher beaucoup, parce que la question "comment récupérer l'extension d'un fichier" a sûrement déjà été posée, elle est abordée dans une source récente, et on trouve des centaines de codes pour faire ça en prenant un peu de temps sur Google.

Ce que je te disais, c'est de vérifier l'extension, et si c'est .php annuler l'upload (supprimer le fichier temporaire).

Coucou747 attirait également ton attention sur le fait que tu dois faire attention à ce que tu fais du fichier uploadé.

Maintenant, si on doit t'écrire ton code, autant que tu nous fasses tout de suite une offre en Euros (je prends aussi les Francs Suisses)

Je suis certain qu'il existe déjà des sources (même sur phpCS) permettant d'uploader certains types de fichiers et pas d'autres. Va faire un tour par là, tu pourras certainement t'inspirer de ce qui a déjà été fait (tu peux même réutiliser une source, elles sont là pour ça).

Bonne continuation.

cs_darkduck · Answer

Dans ma grande bonté, je te file la fonction que j'ai créée
Comme tu peux le voir il suffit de configurer la liste (array) des extensions autorisées

function upload($champ_files, &$nom_fichier_transfere, $repertoire_destination, &$message,
                $extensions_autorisees_array=array('pdf','jpg','jpeg','gif','png'),
                $taille_max_fichier=2000000, $chmod=755)
{    /*Fonction qui transfère un fichier sur le serveur.
    Retourne true si le transfert s'est déroulé correctement, false sinon.

    Liste des paramètres :
    - $champ_files : $_FILES['nom_du_champ']
    - $nom_fichier_transfere (donnée-resultat) : Nom que l'on veut donner au fichier transféré 
                                                 (modifié automatiquement si un fichier porte
                                                 déjà le même nom)
    - $repertoire_destination : Chemin relatif du répertoire dans lequel on veut transférer le fichier
    - $message (donnée-resultat) : Message généré par lors du transfert
    - $extensions_autorisees : Tableau contenant la liste des extensions des fichiers autorisées
    - $taille_max_fichier : Taille maximale (en octets) autorisée pour le fichier à transférer                            (Aide : 1Ko 1000 octets; 1Mo 1000000 octets)
    - $chmod : Chmod du fichier transféré*/

    /*Initialisations*/
    $upload_reussi = false;
    $message = '';    $extension $str_formats_autorises '';
    

    /*On vérifie que $nom_fichier_transfere et $repertoire_destination ne soient pas vides*/    if ($nom_fichier_transfere '' OR $repertoire_destination '')
        $message = 'Erreur : Vous devez préciser un nom à donner au fichier à transférer ainsi qu\'un répertoire de destination';

    /*On vérifie que la taille du fichier à transférer n'est pas trop importante*/
    elseif ($champ_files["size"] > $taille_max_fichier) //Si la taille de la fic est supérieure à la taille max
    {
        $taille_max_autorisee = $taille_max_fichier / 1000;

        $message =  'Erreur : La taille du fichier que vous voulez transférer est trop grande.
'.br().
        'Taille maximale autorisée : '.$taille_max_autorisee.' Ko';
    }

    else //Aucune erreur pour le moment
    {
        /*On supprime les accents et caractèers spéciaux*/
        $nom_fichier_transfere = clearStr($nom_fichier_transfere);

        /*On récupère l'extension du fichier envoyé*/
        $extension_fichier = substr(strchr($champ_files["name"],'.'),1);

        /*On récupère la liste des formats autorisés et on vérifie si l'extension du fichier est autorisée*/
        $extension_autorisee = false; //Initialisation

        foreach ($extensions_autorisees_array as $extension)
        {
            $str_formats_autorises .= $extension.', ';

            /*On vérifie si l'extension du fichier est autorisée*/
            if (!$extension_autorisee AND $extension_fichier == $extension)
                $extension_autorisee = true;
        }

        /*Suppression de la ,(virgule) à la fin de $str_formats_aurorises*/
        $str_formats_autorises = implode(', ', $extensions_autorisees_array);

        if (!$extension_autorisee) //Si le format du fichier n'est pas valide
        {
            $message =     'Erreur : Le fichier que vous voulez transférer ne porte pas une extension autorisée.
'.br().
            'Extension du fichier que vous voulez transférer : '.$extension_fichier.'
'.br().
            'Extenstions autorisées : '.$str_formats_autorises;

        }
        else //Format valide
        {
            /*Si le fichier existe on le renomme de la forme nomDuFichier(X).extension*/

            /*Initialisations*/
            $i = 0;
            $extension = '.'.$extension_fichier;
            $nom_fichier_transfere = str_replace($extension,'',$nom_fichier_transfere);

            /*On renomme le fichier tant qu'un fichier porant le même nom existe*/
            while (file_exists($repertoire_destination.$nom_fichier_transfere.$extension))
            {
                /*Suppression de l'éventuel (X) existant*/
                $nom_fichier_transfere = str_replace('('.$i.')','',$nom_fichier_transfere);

                /*On incrémente le compteur*/
                $i++;

                /*Ajout de (X)*/
                $nom_fichier_transfere = str_replace($nom_fichier_transfere,$nom_fichier_transfere.'('.$i.')',$nom_fichier_transfere);
            }

            /*Nom de destination final*/
            $nom_fichier_transfere = $nom_fichier_transfere.$extension;

            if (is_uploaded_file($champ_files["tmp_name"])) //Si le fichier a été uploadé correctement
            {
                /*On renomme le fichier avec le nom du fichier envoyé (nom éventuellement maj)*/
                if (!rename($champ_files["tmp_name"], $repertoire_destination.$nom_fichier_transfere))
                {
                    $message .= "Envoi du fichier impossible";
                }
                else //Transfert réussi
                {
                    /*On modifie les chmod du fichier*/
                    chmod ($repertoire_destination.$nom_fichier_transfere,'0'.$chmod);

                    $upload_reussi = true; //Transfert réusssi

                    $message = "Le fichier a correctement été transféré !";
                }
            }
        }
    }
    
    return $upload_reussi;
}

cs_darkduck · Answer

Avec ces deux autres fonctions :

/*Fonction qui supprime tous les caractères spéciaux et met éventuellement tout en minuscule*/
    function clearStr($str, $strToLower=true)
    {
        $str = strtr($str,"ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ","AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn");
        $str = ereg_replace('[^a-zA-Z0-9_.]','-',$str);
        
        if ($strToLower === true)
            $str = strtolower($str);
            
        return $str;
    }

/*Fonction qui renvoit le code permettant de faire un saut à la ligne dans un document*/
    function br()
    {
        return chr(10).chr(13);
    }

cs_pipouz · Answer

jte remerci pour ton aide mek!!! ;)

parc ontr je suis trop un blaireau....
et jarrives pas a m'en servir , c'est la prmiere fois que je mattaque au php (ou presque), et du kou je n esait pas commentulisez cette fonction dans mon code que j'ai laissé plus haut....

merci encore

cs_darkduck · Answer

Salut,

Je veux pas jouer le rabas-joie mais le plus simple et le plus rapide est d'apprendre les rudimens du langage PHP.
Il y a plusieurs sites qui proposent de bons tutoriaux.

Je sais que c'est saoulant mais c'est la meilleure méthode pour apprendre "rapidement"

Bon courage

cs_pipouz · Answer

je dirais meme (pour eviter les nullchar )

if (eregi(".php", $destination)) {
        $destination .= ".rtf";
    }
    if (eregi(".php/0", $destination)) {
        $destination .= ".rtf";
    }
if (eregi(".txt", $destination)) {
        $destination .= ".rtf";
    }

coucou747 · Answer

Salut,

c'est du gachis d'utiliser une preg pour ca

Une recherche sur exalead vous aurait peut-etre evit

cs_pipouz · Answer

ben sa evite davoir un code de 3 pages de long pour une si petite fonction

pkois c'est du gachis?

coucou747 · Answer

Salut,

une grosse perte de performances, un substr aurait suffit pour recuperer l'extention

Une recherche sur exalead vous aurait peut-etre evit

cs_pipouz · Answer

comment se servir ce cela dans un "echo" svp ?

/*Fonction qui renvoit le code permettant de faire un saut à la ligne dans un document*/
    function br()
    {
        return chr(10).chr(13);
    }

coucou747 · Answer

Salut,

echo br();

Une recherche sur exalead vous aurait peut-etre evit

cs_pipouz · Answer

beu...... genre sa > 

echo br(str_replace(' ','%20',$destination));
 

?? je crois pas que cela marche chez moi  , je suis un peu peau'h'mé

cs_darkduck · Answer

La fonction br() ne prend aucun paramètre.
En fait cette fonction ne sert à rien si ce n'est à la clarté du code source généré.
Elle permet de faire un retour à la ligne dans le code html généré (pour moi c'est utile, peut etre pas pour toi)

Upload de fichier - interdire l'up de php.

17 réponses

Votre réponse

Discussions similaires