[Sécurité] Galerie D'images Sécurité et comptage de photos

fabien14 · 06/10/2007, 09h58

Bonjour,

J'ai un soucis avec ma galerie d'images, Je n'arrive pas a la sécurisé, j'ai mis en place une galerie qui scan l'arboresense et je passe mes parametres par _GET

Comme cei

http://www.site.com/?dir=galerie&cat.../dossierphotos

Hors celui qui met
http://www.site.com/?dir=galerie&cat=1&galerie=../ remonte de niveau pouvant arrivé a l'index du site... Il y a t'il un moyen de bloquer ceci ?

Car j'ai fait un petit sytem mais il est pas fiable du tous :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($_GET[galerie] == TRUE && $_GET[galerie] <> "../" && $_GET[galerie] <> "./" ) {

Sinon Egalement existe t'il une petite photos informant du nombre de photos dans un dossier ?

Merci

meliandah · 06/10/2007, 10h54

Tu as une petite erreur avec ton opérateur 'DIFFERENT DE', ce n'est pas <> mais ceci : !=.
Sinon essaye de passer par la méthode POST, l'utilisateur ne verra pas les données. Pour la photo qui repertorie les autres, je pense que c'est le 'Thumbail' ou quelque chose comme sa mais c'est uniquement de windows, faut peut être regarder le procédé que linux utilise pour faire ces fichiers et ils seraient peut être utilisable, je ne sais pas :o. Mais tu peut faire sa en HTML, en utilisant l'attribut CSS width tu limitera la largeur (pareil pour la hauteur) et la photo se réduira automatiquement.

julp · 06/10/2007, 11h22

Pour empêcher l'utilisateur de remonter trop haut vous pourriez utiliser queque chose de semblable à :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
define('BASE_GALERIE', '/home/toto/composants/galerie/'); // Le slash (ou backslash) final est important
 
if (isset($_GET['galerie'])) {
    $chemin = realpath($_GET['galerie']) . DIRECTORY_SEPARATOR;
    if (strpos($chemin, BASE_GALERIE) !== 0) {
        die("Vous ne pouvez remonter plus haut !");
    }
} else {
    $chemin = BASE_GALERIE;
}
 
# Le restant de votre script initial ...

(non testé)

fabien14 · 06/10/2007, 14h50

Merci sa marche

J'ai placé ceci en haut de la page et sa a l'air de fonctionner

Cependant il me reste mon probleme d'affichage du nombre de photos dans le dossier j'ai essayer plein de petite fonction mais sans résultat.

06/10/2007, 09h58	#1
fabien14 Candidat au titre de Membre du Club Inscription : août 2006 Messages : 144 Détails du profil Informations forums : Inscription : août 2006 Messages : 144 Points : 11 Points : 11	[Sécurité] Galerie D'images Sécurité et comptage de photos Bonjour, J'ai un soucis avec ma galerie d'images, Je n'arrive pas a la sécurisé, j'ai mis en place une galerie qui scan l'arboresense et je passe mes parametres par _GET Comme cei http://www.site.com/?dir=galerie&cat.../dossierphotos Hors celui qui met http://www.site.com/?dir=galerie&cat=1&galerie=../ remonte de niveau pouvant arrivé a l'index du site... Il y a t'il un moyen de bloquer ceci ? Car j'ai fait un petit sytem mais il est pas fiable du tous : Code : Sélectionner tout - Visualiser dans une fenêtre à part if($_GET[galerie] == TRUE && $_GET[galerie] <> "../" && $_GET[galerie] <> "./" ) { Sinon Egalement existe t'il une petite photos informant du nombre de photos dans un dossier ? Merci
	00

06/10/2007, 10h54	#2
meliandah Membre confirmé Inscription : mai 2006 Messages : 196 Détails du profil Informations forums : Inscription : mai 2006 Messages : 196 Points : 278 Points : 278	Tu as une petite erreur avec ton opérateur 'DIFFERENT DE', ce n'est pas <> mais ceci : !=. Sinon essaye de passer par la méthode POST, l'utilisateur ne verra pas les données. Pour la photo qui repertorie les autres, je pense que c'est le 'Thumbail' ou quelque chose comme sa mais c'est uniquement de windows, faut peut être regarder le procédé que linux utilise pour faire ces fichiers et ils seraient peut être utilisable, je ne sais pas :o. Mais tu peut faire sa en HTML, en utilisant l'attribut CSS width tu limitera la largeur (pareil pour la hauteur) et la photo se réduira automatiquement.
	00

06/10/2007, 14h50	#4
fabien14 Candidat au titre de Membre du Club Inscription : août 2006 Messages : 144 Détails du profil Informations forums : Inscription : août 2006 Messages : 144 Points : 11 Points : 11	Merci sa marche J'ai placé ceci en haut de la page et sa a l'air de fonctionner Cependant il me reste mon probleme d'affichage du nombre de photos dans le dossier j'ai essayer plein de petite fonction mais sans résultat.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email