Discussion :

[akab48]

bonjour

J'utilise ce code pour télécharger les fichiers depuis mon site

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
	<?php
 
if(!empty($_GET['file'])){
	$getId = $_GET['file'];
 
		echo '<a href="javascript:MaxWin(\''.$getId.'\')" ><img border="0" src="telecharger.gif" width="35" height="36"></a>';
    }else{
        echo 'Cannot find  file  ' ;
    }
?>

Le script fonctionne bien.
Affiche les liens de téléchargement depuis url:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telecharger.php?file=monfichier.rar

Pouvez-vous m'aider à le développer et le rendre plus sécurisé

Merci

[Invité]

Bonjour,
ce n'est pas de l'"amélioration de code" qu'il te faut, mais une ré-écriture complète !
Actuellement, avec ton code, on peut télécharger n'importe quel fichier de ton serveur.

Commence par te poser les bonnes questions, en partant du principe que "le pire est toujours possible"

ex. :
Passage du nom de fichier en GET dans l'URL, en clair :
- n'importe qui peut modifier ce nom directement dans la barre d'adresse.
- en clair = lisible
=> comment éviter ca ? passer en POST ? en SESSION ? crypter le nom ? ...

Le fichier :
- le fichier existe sur le serveur ?
=> vérifier l'existence -> is_file() - file_exists()
- n'importe quelle extension ?
=> vérifier l'extension (liste d'extensions autorisées)
- fichier autorisé au téléchargement ?
=> liste de fichiers autorisés (?)

...

[akab48]

bonjour

Merci jreaux62 pour vos éclaircissements.
je n'ai pas bien expliqué pour vous.

Voici le code Javascript

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<SCRIPT language=JavaScript src="telecharger.js"></SCRIPT>
 
<SCRIPT language=JavaScript>
  <!--
  function MaxWin(adr)
  { location="http://autre_serveur.com/doc/"+adr+".rar";}
  // -->
  </SCRIPT>

URL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://mon_serveur.com/telecharger.php?file=monfichier

Pour le fichier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

doc_monfichier.rar

code de telecharger.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
 
if(!empty($_GET['file'])){
	$getId = $_GET['file'];
	if (file_exists('http://autre_serveur.com/doc/doc_'.$getId.'.rar')) {
		echo '<a href="javascript:MaxWin(\'doc_'.$getId.'\')" ><img border="0" src="telecharger.gif" width="35" height="36"></a>';
    }else{
        echo 'Le fichier n\'existe pas ou il ya une erreur  ' ;
 
    }
	}
?>

Le problème que la recherche du fichier ne fonctionne pas
Même si le fichier existe, le message suivant apparaît
'Le fichier n'existe pas ou il ya une erreur

[Invité]

http://autre_serveur.com/doc/doc_'.$getId.'.rar

Tu veux télécharger des fichiers DEPUIS un AUTRE serveur ?
Ca ne va pas être possible comme ca.

Je pensais que tu voulais proposer au téléchargement des fichiers de TON serveur.

[thebarbarius]

Hum ton get n'est pas du tout securisé.

Faudrai penser a faire un regex dessus.

Si tu fais du regex faut faire en php car la desactivation du javascript est aisé.

[akab48]

Tu veux télécharger des fichiers DEPUIS un AUTRE serveur ?
Ca ne va pas être possible comme ca.

Je pensais que tu voulais proposer au téléchargement des fichiers de TON serveur.

Oui, je veux proposer mes fichiers en téléchargement à partir d'un autre serveur
J'ai trouvé ce code, mais je ne savais pas comment l'utiliser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
function fileExists($path){
    return (@fopen($path,"r")==true);
}
?>

[stealth35]

ce code sert strictement a rien file_exists existe déjà ...

[akab48]

ce code sert strictement a rien file_exists existe déjà ...

Oui, existe mais ne fonctionne pas

Les fichiers sont situés dans un autre serveur

[stealth35]

Oui, existe mais ne fonctionne pas

Les fichiers sont situés dans un autre serveur

un get_headers dans ce cas la

[akab48]

un get_headers dans ce cas la

Franchement je ne sais pas le faire

[Dominique49]

Franchement je ne sais pas le faire

pourtant pas compliqué :

http://php.net/manual/fr/function.get-headers.php

tu lui passe l'url, et il te retourne false ou true si le fichier existe ou pas.
quand tu ne saits pas utiliser une fonction, va voire la doc, d'autant plus que la doc PHP existe en français, ce qui n'aiest pas le cas pour d'autres langages