[Sécurité] Upload de fichier et sécurité

pelloq1 · 23/05/2007, 14h16

Bonjour,

Je fait un système d'upload de fichiers avec un formulaire ad hoc (a savoir un input type=file), et que le formulaire renvoi à une procédure d'upload du dit fichier.

Jusque la pas de problème. Ma question est au niveau du répertoire du serveur. Quels droit minimum faut il lui donner, et quelles failles de sécurité cela engendre ?

merci

zvince · 23/05/2007, 22h16

Bonjour,
Pour le répertoire temporaire d'upload, l'utilisateur sous lequel tourne Apache/IIS doit avoir les droits en lecture/écriture.
Pour le répertoire où sera copié le fichier après upload, je dirais idem, vu que c'est Apache qui fait appel à php.
Ces répertoires ne doivent pas être accessibles via une url.
Pour les failles, ben si c'est une faille ...

pelloq1 · 23/05/2007, 22h25

Hello, tu dis 'Ces répertoires ne doivent pas être accessibles via une url.' ok, mais si je veux que justement ces fichiers deviennent accessible sur mon site (des images par exemple), comment faire pour que ce répertoire de destination soit sécurisé ?

J'entend par la que pour recevoir des fichiers il devra bien être en lecture/ecriture, et dans ce cas tout le monde peut y accéder pour y copier des fichier via ftp ?

23/05/2007, 14h16	#1
pelloq1 Nouveau Membre du Club Inscription : janvier 2007 Messages : 132 Détails du profil Informations personnelles : Âge : 35 Informations forums : Inscription : janvier 2007 Messages : 132 Points : 31 Points : 31	[Sécurité] Upload de fichier et sécurité Bonjour, Je fait un système d'upload de fichiers avec un formulaire ad hoc (a savoir un input type=file), et que le formulaire renvoi à une procédure d'upload du dit fichier. Jusque la pas de problème. Ma question est au niveau du répertoire du serveur. Quels droit minimum faut il lui donner, et quelles failles de sécurité cela engendre ? merci
	00

23/05/2007, 22h16	#2
zvince Membre habitué Inscription : mai 2007 Messages : 131 Détails du profil Informations forums : Inscription : mai 2007 Messages : 131 Points : 113 Points : 113	Bonjour, Pour le répertoire temporaire d'upload, l'utilisateur sous lequel tourne Apache/IIS doit avoir les droits en lecture/écriture. Pour le répertoire où sera copié le fichier après upload, je dirais idem, vu que c'est Apache qui fait appel à php. Ces répertoires ne doivent pas être accessibles via une url. Pour les failles, ben si c'est une faille ...
	00

23/05/2007, 22h25	#3
pelloq1 Nouveau Membre du Club Inscription : janvier 2007 Messages : 132 Détails du profil Informations personnelles : Âge : 35 Informations forums : Inscription : janvier 2007 Messages : 132 Points : 31 Points : 31	Hello, tu dis 'Ces répertoires ne doivent pas être accessibles via une url.' ok, mais si je veux que justement ces fichiers deviennent accessible sur mon site (des images par exemple), comment faire pour que ce répertoire de destination soit sécurisé ? J'entend par la que pour recevoir des fichiers il devra bien être en lecture/ecriture, et dans ce cas tout le monde peut y accéder pour y copier des fichier via ftp ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email