Upload d'avatars est ce dangereux? [Fait] [Résolu]

[zintelix3d]

Slt , Je fait un petit forum où l'utilisateur a la possibilité d'uploader un avatar, à l'aide d'un script php, le fichier est chargé, le script vérifie sa taille qui doit être inférieur à 50 ko, puis le place dans un dossier ./avatars/ en le renommant avatar0.jpg, avatar1.jpg, avatar2.jpg ... selon l'id de l'utilisateur.
Lors de l'affichage je place l'avatar grâce à un script php qui donne qq chose du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<img src="./avatars/avatar1.jpg"  alt="avatar de toto" >

J'aimerai bien savoir à quel point sa peut être dangereux, et surtout est ce qu'on peut glisser du code malicieux à la place d'une image et le faire exécuter dans la balise "img" (un .js par exemple) bienque je filtre les extensions des fichiers mais c'est loin d'être suffisant.

[12monkeys]

Bonjour

As tu lu ce toturiel ? Il parle de l'upload de fichier en php et aborde entre autre, la sécurité : http://antoine-herault.developpez.co...p/upload/#L3.2

[zintelix3d]

Merci 12monkeys, j'ai lue sa mais sa ne répond pas encore à ma question, mais ce qui pourrais m'intéresser c'est ce que dit l'auteur mais malheureusement ne développe pas:

Citation:

il faut vérifier le type du fichier que vous voulez uploader (.jpg, .gif ...). Cette méthode est une première approche qui nous suffit pour le moment mais, en réalité, il faudrait vérifier le type MIME des fichiers uploadés.

Vérifier le type MIME des fichiers uploadés, je me demande comment en fait sa pour les formats '.png', '.gif', '.jpg', '.jpeg'

Mais ce que je cherche réellement à savoir est que si j'ai un fichier "avatar1.jpg", je ne sait pas ce qu'il contient (image: '.png', '.gif', '.jpg', '.jpeg', ou script ou un autre fichier à contenu actif) , peut il s'exécuter (fichier script) s'il est dans une balise <img src="avatar1.jpg" > , surtout coté client

[papa6]

Salut,

le tuto de 12monkeys est très bien, tu peux le suivre.

sauf erreur de ma part (si quelqu'un peut confirmer ou infirmer...), tu ne devrais pas avoir peur d'une attaque lorsque le fichier [image ou code] est chargé par la balise <img... /> mais plutôt avant lorsqu'il est en train d'être téléchargé sur le serveur

[zintelix3d]

, je trouve aussi que le tuto de 12monkeys très bien, mais il manque justement ce que cherche: (vérifier le type MIME des fichiers uploadés) merci

[papa6]

re-salut,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
if( ! in_array($_FILES['avatar']['type'],
  array('image/gif',
      'image/jpeg',
      'image/png',
      'image/pjpeg')
)) {
     echo 'Vous devez uploader une image<br />';
}
?>

(je crois, mais le mieux est, pour tester, d'afficher toi-même le type lors de différents essais)

[zintelix3d]

Merci, je vais voir ce code, mais j'ai l'impression qu'il ne vérifie que l'extension du fichier uploadé et pas son contenu

[12monkeys]

Ceci verifie bien le type mime avec une limitation : http://www.php.net/manual/fr/features.file-upload.php

Citation:

$_FILES['userfile']['type']
Le type MIME du fichier, si le navigateur a fourni cette information. Par exemple, cela pourra être "image/gif". Ce type mime n'est cependant pas vérifié du côté de PHP et, donc, ne prend pas sa valeur pour se synchroniser.

Sinon une petite recherche sur google te donne les mêmes exemples...

[Thes32]

salut,
je crois que le mieux à faire sont ceux que t'ont décrit 12monkeys et papa6

Citation:

Envoyé par zintelix3d

j'ai l'impression qu'il ne vérifie que l'extension du fichier uploadé et pas son contenu

non, vérifié le type mime ne revient pas qu'à vérifier ce qui vient après le "." dans le nom du fichier, le type mime donne le format entier de la donnée.

@ plus

[zintelix3d]

ok c noté merci