Uploader des fichier dansun dossier, sécurisé avec mot de passe

Soyez le premier à donner votre avis sur cette source.

Snippet vu 9 433 fois - Téléchargée 18 fois

Commenter

Contenu du snippet

Petit script PHP sans aucune prétention qui permet d'uploader des fichier de tout type dans un dossier donné.
Vous pouvez modifier le mot de passe et le login (par défaut "test" pour les deux).
Attention le mot de passe et le login doivent être Hashé en MD5.

Source / Exemple : 


<?php
/* Petit FTP sécurisé en php sans base de donnée par le site raizzo.fr*/
			///////////////////////
			///  Configuration  ///
			///////////////////////
			//Dans les variables login et pass, entrer la valeur Hashé en md5 du login et du pass que vous voulez mettre (par default md5 de TEST)
			//Dans la variable dossier, entrer le chemin ou vous souhaitez que vos fichier soit uploadé. (par default /)
			$utilisateur = "098f6bcd4621d373cade4e832627b4f6";
			$mdp = "098f6bcd4621d373cade4e832627b4f6";
			$dossier = "";
			//le logo du site doit être nomé logo.png et ce trouver a la racine du FTP
			//fin de la configuration

// Récupération des données posté en POST
$login = (isset($_POST["login"])) ? $_POST["login"] : "";
$pass = (isset($_POST["pass"])) ? $_POST["pass"] : "";
$deconnexion = (isset($_POST["deconnexion"])) ? $_POST["deconnexion"] : "";
// Récupération des données des cookies
$login_cookie = (isset($_COOKIE["login"])) ? $_COOKIE["login"] : "";
$pass_cookie = (isset($_COOKIE["pass"])) ? $_COOKIE["pass"] : "";
//si la déconnexion existe on déconnect
if (!empty($deconnexion))
{
setcookie("login","", time()-60*60*24*30); //suppression des cookies
setcookie("pass","", time()-60*60*24*30);
header('Location: index.php'); //puis redirection vers l'index
}
//si les données en POST existes
if (!empty($login) && !empty($pass)) 
{
	// Sécurise le login fourni, que magic_quotes_gpc soit sur on ou off
	if( !get_magic_quotes_gpc() )
	{
		$login = addslashes($login);
		$pass = addslashes($pass);
	}
	$login = md5($login); //on Hash le login
	$pass = md5($pass); //on Hash le pass
	setcookie("login", $login, time()+60*60*24*30);
	setcookie("pass", $pass, time()+60*60*24*30);
	header('Location: index.php'); //puis redirection vers l'index
}
// Sinon on regarde si les cookies d'authentification sont présents
elseif (!empty($login_cookie) && !empty($pass_cookie))
{
	// Sécurise le login et le pass fourni, que magic_quotes_gpc soit sur on ou off
	if( !get_magic_quotes_gpc() )
	{
		$login_cookie = addslashes($login_cookie);
		$pass_cookie = addslashes($pass_cookie);
	}
	if ($login_cookie != $utilisateur || $pass_cookie != $mdp) // vérification du login et du pass si mauvais, on affiche la page suivante:
	{	
		echo 
		'
		<html>
		<head>
		<title>FTP Service ERREUR!</title> 
		<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
		<script type="text/javascript">
		function verif_form() 
		{
			if (document.forms.identification.login.value == "") 
			{
				alert("Veuillez rentrer votre Nom.");
				return(false);
			} 	
			else if (document.forms.identification.pass.value == "")
			{
				alert("Veuillez rentrer votre mot de passe.");
				return(false);
			} 
			else 
			{
			return(true);
			}
		}
		</script>
		</head>
		<body bgcolor="#EADD31">
		<div align="left" style="position:absolute ">
		<img src="logo.png" border="" />
		</div>
		<br />
		<br />
		<br />
		<br />
		<table width="75%" cellpadding="4" cellspacing="1" border="1" align="center">
		  <tr>
			<td class="row1"><table border="0" cellpadding="3" cellspacing="1" width="100%">
				  <tr>
					<td colspan="2" align="center">
					<br />
					<div align="center">
					<b><font face="Verdana" size="3" color="#F51000"><u>Bienvenue sur le Service FTP du site</u></font></b>
					<br />
					<br />
					Problème de connexion: Utilisateur ou mot de passe inconnu
					<br />
					<br />
					<form name="identification" action="index.php" method="post" enctype="multipart/form-data" onSubmit="return verif_form()">
					Utilisateur<br />
					<input type="text" name="login" size="16"><br /><br />
					Mot de passe<br />
					<input type="text" name="pass" size="16"><br /><br />
					<input type="submit" name="envoyer" value="Connexion">
					</form> 
					</div>
					<br />
					</td>
				  </tr>
			</td>
		  </tr>
		</table>
		</body>
		</html>
		';
	}		
	else
	{
		// Si tout est bon, on affiche le formulaire d'upload et on autorise à commencer l'upload
		echo '
		<html>
		<head>
		<title>FTP Service</title> 
		<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
		</head>
		<body bgcolor="#EADD31">
		<div align="left" style="position:absolute ">
		<img src="logo.png" border="" />
		</div>
		<br />
		<br />
		<br />
		<br />
		<table width="75%" cellpadding="4" cellspacing="1" border="1" align="center">
		  <tr>
			<td class="row1"><table border="0" cellpadding="3" cellspacing="1" width="100%">
				  <tr>
					<td colspan="2" align="center">
					<br />
					<div align="center">
					<b><font face="Verdana" size="3" color="#F51000"><u>Connexion autorisée, envoi du fichier</u></font></b>
					<br />
					<br />
					<form name="upload" action="index.php" method="post" enctype="multipart/form-data" onSubmit="return verif_form()">
					<input type="file" name="fichier"><br />
					<input type="submit" name="envoyer" value="Envoyer le fichier">
					</form>
					<form name="deconnexion" action="index.php" method="post" enctype="multipart/form-data" onSubmit="return verif_form()">
					<input type="submit" name="deconnexion" value="Déconnexion">
					</form>
					</div>
					<br />
					</td>
				  </tr>
			</td>
		  </tr>
		</table>
		</body>
		</html>
		';
		if(isset($_FILES['fichier']))
		{ 
			$fichier = basename($_FILES['fichier']['name']); // Commencement de l'upload
			//Si la fonction renvoie TRUE, c'est que ça a fonctionné
			if(move_uploaded_file($_FILES['fichier']['tmp_name'], $dossier . $fichier)) 
			{
				echo "<SCRIPT language=javascript>alert('Upload effectué avec succès')</SCRIPT>";  //affiche si l'upload a marché
			}
			else 
			{
				echo "<SCRIPT language=javascript>alert('Echec de l\'upload !')</SCRIPT>"; //Si erreur dans l'upload on l'affiche
			}
		}
	}
}
//sinon formulaire d'identification classique du départ
else
{
?>
<html>
<head>
<title>FTP Service</title> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<script type="text/javascript">
function verif_form() {
	if (document.forms.identification.login.value == '') {
		alert("Veuillez rentrer votre Nom.");
		return(false);
	} else if (document.forms.identification.pass.value == '') {
		alert("Veuillez rentrer votre mot de passe.");
		return(false);
	} else {
	return(true);
	}
}
</script>
</head>
<body bgcolor="#EADD31">
<div align="left" style="position:absolute ">
<img src="logo.png" border="" />
</div>
<br />
<br />
<br />
<br />
<table width="75%" cellpadding="4" cellspacing="1" border="1" align="center">
  <tr>
	<td class="row1"><table border="0" cellpadding="3" cellspacing="1" width="100%">
		  <tr>
			<td colspan="2" align="center">
			<br />
			<div align='center'>
			<b><font face="Verdana" size="3" color="#F51000"><u>Bienvenue sur le Service FTP du site</u></font></b>
			<br />
			<?php //on retoune sur PHP pour ne pas que le client puissent voir le code suivant:
			echo "votre IP est enregistré: "; 
			$ip = $_SERVER["REMOTE_ADDR"];
			echo $ip; //bleuf aucune IP est sauvegardé, mais possibilité de le faire
			?>
			<br />
			<br />
			<br />
			<form name="identification" action="index.php" method="post" enctype="multipart/form-data" onSubmit="return verif_form()">
			Utilisateur<br />
			<input type="text" name="login" size="16"><br /><br />
			Mot de passe<br />
			<input type="text" name="pass" size="16"><br /><br />
			<input type="submit" name="envoyer" value="Connexion">
			</form> 
			</div>
			<br />
			</td>
		  </tr>
	</td>
  </tr>
</table>
</body>
</html>
<?php
}
?>

Conclusion :


Version 0.2 du script, toutes les remarques des commentaires si-dessous sont prisent en compte, pour faire avancé la source.

A voir également

Ajouter un commentaire Commentaires
cs_emilia123 Messages postés 122 Date d'inscription mercredi 19 décembre 2001 Statut Membre Dernière intervention 5 janvier 2009
24 oct. 2011 à 16:38
@TychoBrahe : ok je comprend maintenant ce que tu voulais dire par "inutile", mais du coup ta réponse était incomplète :)

J'avais compris que c'était uniquement le "isset" qui était inutile et donc à supprimer (vu que tout le reste du code utilise $login et $pass).

Si on ne supprimait que le isset en laissant l'assignation qui est en place, on aurait un warning pour css lignes si il n'y avait pas de login/pass à traiter.

Mais en effet si on supprime complètement l'assignation et qu'on remplace partout dans le code les variables d'origine, le "empty" suffit.

EM.
TychoBrahe Messages postés 1309 Date d'inscription samedi 31 janvier 2009 Statut Membre Dernière intervention 5 juin 2013 12
24 oct. 2011 à 15:24
@emilia123 :
"Inutile? si ca n'est pas fait et que le serveur est configuré pour afficher les warning, ca affichera un joli petit message d'avertissement... c'est pas top pour l'internaute."
Tu as tort. Juste après ceci, il test à nouveau ces variables à l'aide de empty(). Comme tu peux le constater dans la documentation, empty() considère une variable non déclarée comme vide et du coup n'affiche aucun avertissement, pas même une notice. Tu peux tester si tu doutes de ce comportement. Bref, vu que empty() remplis le rôle de isset() en plus de tester autre chose, il est parfaitement inutile de faire ce isset().

Un autre argument que j'ai contre cette affectation (même après test) est plus d'ordre sémantique. Le fait que la valeur se trouve dans la variable $_POST (ou $_GET) est porteur de sens : on sais que cette donnée est fournie par l'utilisateur. En utilisant une variable perso on perd cette signification et il faut se souvenir soi même de cette provenance. Vu qu'il ne faut *jamais* se fier à une donnée fournie par l'utilisateur, je trouve dangereux ce genre de choses qui peut faire oublier au développeur la potentielle dangerosité de que contient la variable.
raizzo Messages postés 2 Date d'inscription mercredi 19 octobre 2011 Statut Membre Dernière intervention 24 octobre 2011
24 oct. 2011 à 15:08
Merci à tous pour vos commentaire d'aide.
Je vais modifier le code pour qu'il soit plus correct.
cs_emilia123 Messages postés 122 Date d'inscription mercredi 19 décembre 2001 Statut Membre Dernière intervention 5 janvier 2009
24 oct. 2011 à 08:31
Bonjour,

@TychoBrahe : pourquoi indiques tu :
---------------------------------------
$login = (isset($_POST["login"])) ? $_POST["login"] : "";
Useless au possible, à supprimer, et pareil pour son collègue.
---------------------------------------
Inutile? si ca n'est pas fait et que le serveur est configuré pour afficher les warning, ca affichera un joli petit message d'avertissement... c'est pas top pour l'internaute.

Comme le propose COD57, il serait intéressant de découper le script en plusieurs parties :
1) identification avec mise en session et redirection vers upload si OK,
2) upload si l'identification est OK

Concernant le script actuel, il y a un petit pb avec les "echo" d'erreur (ligne 18, 26, 38 et 42).
Dans l'état actuel, ils sont affichés avant le début du code HTML, ce qui n'est pas correct.
Il faudrait enregistrer le message dans une variable et l'afficher ensuite dans le formulaire.
Pense aussi à ne pas utiliser de javascript et d'"alert" pour ce genre de message. Un joli petit cadre au dessus du formulaire fait beaucoup plus propre (et pro) qu'une vilaine alerte javascript.

Bon courage pour la suite.

EM.
cod57 Messages postés 1654 Date d'inscription dimanche 7 septembre 2008 Statut Membre Dernière intervention 11 septembre 2013 19
22 oct. 2011 à 10:39
bonjour
@En lui même le code est pas trop mal pour un débutant (ya bien pire)...
@TychoBrahe d'accord avec toi en espérant qu'il poste un code plus sécurisé

tu devrais séparé le code, quelques idéees :

1/Un formulaireadmin.html saisir login + password <form action='traitement.php' method="post"> ...

2/tu vérifies dans traitement.php les identifiants
(depuis une base ou un fichier caché dans un répertoire protégé par .htaccess)

si ok tu crées une variable $_SESSION['client']=true
si true===$_SESSION['client'] tu affiches le formulaire d'upload
echo $form;

sinon retour à formulaireadmin.html par la fonction header()
header('Location: formulaireadmin.html');exit;

il faut aussi faire une fonction de déconnection est un bouton se déconnecter dans traitement.php (et ou) par un système de cookies une déconnection automatique au bout de x secondes

4/$form pointe vers upload.php
qui contient la function upload avec tout les trucs habituels de securité

en vrac + ceux que j'oublie
protection acces de $form sur upload par token ou captcha
nettoyage du 'name' par un un filtre (preg_replace)
verification du mine
verification de l'extension du fichier envoyé + tableau des extensions autorisées
verification du repertoire et du déplacement is_uploaded()
verification de l'existence du fichier (file_exists)dans le dit repertoire (contre les doublons)
deplacement vers une arborescence inferieur ...
exemple :
./titi/toto/traitement.php
./titi/toto/upload.php
tu deplaces les fichiers vers ./images/
...
stockage eventuelle dans mysql infos
date heure : membre : depuis ip : déplace fichier vers : x

si l'upload
$_POST=$_GET=$_FILES=array();
header('Location: merci.html');exit;
tu affiches les fichiers avec de l'url rewriting
et un bouton retour vers traitement.php

sinon
header('Location: byebye.php');exit;

byebye.php
<?php
session_start();
$_POST=$_GET=$_FILES=array();
unset_session();
destroy_session();
header('Location: http://monsite.fr/formulaireadmin.html');exit;
?>

++
S'inscrire maintenant

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.