[PHP 5.3] Test si une chaine contient ".." [Résolu]

mamax29 · 20/12/2010, 18h48

Bonjour,

Dans un script je récupère une variable qui est un nom de fichier présent sur le serveur dans un répertoire spécifique.
http://monsite/import.php?file=xxxxxx

Pour des question de sécurité, je souhaite interdire le visiteur de mettre comme nom de fichier: ../../toto.txt

Je veux donc la tester afin afin de savoir si la chaine contient la chaine "..", mais cela ne fonctionne pas.

voici le code php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
    $f=$_GET['file'];
    $logfile=escapeshellcmd($f);
 
    if( strpos($logfile,'..') )
    {
      echo "le nom de fichier indiqué est interdit.";
    }
 
    if( strpos($logfile,' ') )
    {
      $logfile=str_replace(' ','_',$logfile);
    }
    ...

si dans la commande strpos, je remplace '..' par des lettres (tot), cela fonctionne...

sabotage · 20/12/2010, 19h42

Tu n'utilises pas la fonction de la bonne facon.
Revois la doc :
http://php.net/manual/fr/function.strpos.php

mamax29 · 20/12/2010, 20h26

Humm..

ça m'apprendra à lire en diagonal...

20/12/2010, 19h42	#2
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Tu n'utilises pas la fonction de la bonne facon. Revois la doc : http://php.net/manual/fr/function.strpos.php
	00

20/12/2010, 20h26	#3
mamax29 Membre actif Inscription : avril 2010 Messages : 221 Détails du profil Informations forums : Inscription : avril 2010 Messages : 221 Points : 158 Points : 158	Humm.. ça m'apprendra à lire en diagonal...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email