Discussion :

[akab48]

bonjour

J'utilise ce code pour télécharger les fichiers depuis mon site

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
	<?php
 
if(!empty($_GET['file'])){
	$getId = $_GET['file'];
 
		echo '<a href="javascript:MaxWin(\''.$getId.'\')" ><img border="0" src="telecharger.gif" width="35" height="36"></a>';
    }else{
        echo 'Cannot find  file  ' ;
    }
?>

Le script fonctionne bien.
Affiche les liens de téléchargement depuis url:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telecharger.php?file=monfichier.rar

Pouvez-vous m'aider à le développer et le rendre plus sécurisé

Merci

[Invité]

Bonjour,
ce n'est pas de l'"amélioration de code" qu'il te faut, mais une ré-écriture complète !
Actuellement, avec ton code, on peut télécharger n'importe quel fichier de ton serveur.

Commence par te poser les bonnes questions, en partant du principe que "le pire est toujours possible"

ex. :
Passage du nom de fichier en GET dans l'URL, en clair :
- n'importe qui peut modifier ce nom directement dans la barre d'adresse.
- en clair = lisible
=> comment éviter ca ? passer en POST ? en SESSION ? crypter le nom ? ...

Le fichier :
- le fichier existe sur le serveur ?
=> vérifier l'existence -> is_file() - file_exists()
- n'importe quelle extension ?
=> vérifier l'extension (liste d'extensions autorisées)
- fichier autorisé au téléchargement ?
=> liste de fichiers autorisés (?)

...

[akab48]

bonjour

Merci jreaux62 pour vos éclaircissements.
je n'ai pas bien expliqué pour vous.

Voici le code Javascript

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<SCRIPT language=JavaScript src="telecharger.js"></SCRIPT>
 
<SCRIPT language=JavaScript>
  <!--
  function MaxWin(adr)
  { location="http://autre_serveur.com/doc/"+adr+".rar";}
  // -->
  </SCRIPT>

URL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://mon_serveur.com/telecharger.php?file=monfichier

Pour le fichier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

doc_monfichier.rar

code de telecharger.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
 
if(!empty($_GET['file'])){
	$getId = $_GET['file'];
	if (file_exists('http://autre_serveur.com/doc/doc_'.$getId.'.rar')) {
		echo '<a href="javascript:MaxWin(\'doc_'.$getId.'\')" ><img border="0" src="telecharger.gif" width="35" height="36"></a>';
    }else{
        echo 'Le fichier n\'existe pas ou il ya une erreur  ' ;
 
    }
	}
?>

Le problème que la recherche du fichier ne fonctionne pas
Même si le fichier existe, le message suivant apparaît
'Le fichier n'existe pas ou il ya une erreur

[Invité]

http://autre_serveur.com/doc/doc_'.$getId.'.rar

Tu veux télécharger des fichiers DEPUIS un AUTRE serveur ?
Ca ne va pas être possible comme ca.

Je pensais que tu voulais proposer au téléchargement des fichiers de TON serveur.

[thebarbarius]

Hum ton get n'est pas du tout securisé.

Faudrai penser a faire un regex dessus.

Si tu fais du regex faut faire en php car la desactivation du javascript est aisé.

[akab48]

Tu veux télécharger des fichiers DEPUIS un AUTRE serveur ?
Ca ne va pas être possible comme ca.

Je pensais que tu voulais proposer au téléchargement des fichiers de TON serveur.

Oui, je veux proposer mes fichiers en téléchargement à partir d'un autre serveur
J'ai trouvé ce code, mais je ne savais pas comment l'utiliser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
function fileExists($path){
    return (@fopen($path,"r")==true);
}
?>

[stealth35]

ce code sert strictement a rien file_exists existe déjà ...