Discussion :

[Invité]

Bonjour,
je sais faire :
AVANT soumission du formulaire (après clic sur "Parcourir") :
-> vérifier l'extension en javascript ( on vérifie juste le nom du fichier) ;

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
var extensions_ok		= 'jpg,jpeg,png,gif';
var file_name			= $(this).val().toLowerCase(); // nom du fichier (ici en jQuery)
if(file_name!=''){
	var file_array 		= file_name.split('.');
	var file_extension	= file_array[file_array.length-1]; // extension du fichier (dernier élément)
	if(extensions_ok.indexOf(file_extension)===-1) { 
		alert('extension PAS ok');
	} else { 
		alert('extension OK');
	}
}

APRES soumission du formulaire :
-> vérifier l'extension en PHP ;

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$file_Extension = strtolower(pathinfo($_FILES['newsPhoto']['name'],PATHINFO_EXTENSION));

-> vérifier le type MIME en PHP ;

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$finfo = new finfo(FILEINFO_MIME_TYPE, NULL); // Retourne le type mime
$file_MimeType = $finfo->file($_FILES['newsPhoto']['tmp_name']);

MAIS AVANT soumission du formulaire (après clic sur "Parcourir") :
=> est-il possible de vérifier le type MIME en javascript ?

Si oui, comment ?
Merci

[PP(Team)]

Bonjour,

Ceci répond-il à ta demande ?
http://www.developpez.net/forums/d46...e-mime-upload/

Cordialement.

[Invité]

Bonjour PP(Team),
non.
J'avais lu cette discussion avant : elle traite de la vérification en PHP (ce que je sais faire).
Merci quand même.

[SpaceFrog]

c'est qu' priori sans activeX ce n'est pas possible coté client ...

[Invité]

C'est ce que je pensais.

Je pense qu'une solution serait :
- de télécharger via Ajax le fichier dans un dossier "temp" ;
- et donc de vérifier le TYPE MIME en PHP du fichier téléchargé dans ce dossier.
Mais je n'ai pas envie de télécharger n'importe quoi !!

Je me trompe ?

[SpaceFrog]

ben deja si tu regardes l'autre post le fichier est testable pendant l'upload dans $_FILES

[Invité]

Oui, je sais bien.
C'est déjà ce que je fais APRES soumission du formulaire.

Ma question porte sur AVANT soumission du formulaire.
L'objectif étant :
=> affichage d'une "alert" javascript si le fichier n'a pas le bon type MIME.
=> NE PAS uploader le fichier (même dans un dossier "tmp") si l'extension ou le type MIME ne correspondent pas.

Et donc éviter les fichiers "malveillants", ceux dont l'extension ne correspond pas au type MIME.
Par exemple : un fichier xxx.exe renommé xxx.jpg, passe la validation de l'Extension.
Par contre, il ne passera pas la validation du type MIME !

Suis-je parano ?

[SpaceFrog]

uploader en ajax = pas possible
donc a mon avis ce que tu cherches à faire n'est pas raisonnable

[thelvin]

Raisonnable, je confirme, ça l'est probablement pas. En tout cas pas encore.

Essentiellement, ça consiste à faire une analyse du type de fichier à la mime-magic, du côté du navigateur. Autrement dit, une implémentation de mime-magic dans le navigateur, et vu qu'il n'y en a pas à ma connaissance, la seule manière de le faire, serait de le coder soi-même en JavaScript. Pas complètement infaisable avec une version Java et GWT, mais passablement inefficace.

Ah, et vu qu'il y a besoin de FileReader pour obtenir le flux d'octets, servant à l'analyse et à l'upload AJAX, ça ne marche que sur les navigateurs qui le gèrent assez bien (Firefox, Chrome, Opéra récents.)

[SpaceFrog]

sans doute faisable avec un applet ou un activeX (peut etre avec flash) avec tous les desavangates que cela comporte

[Invité]

OK, OK.
Je m'en tiendrais à :
1/ la vérification de l'extension en javascript (avant soumission du formulaire) ;
2/ la vérification de l'extension en PHP (traitement de l'upload) ;
3/ la vérification du type MIME en PHP (traitement de l'upload) ;

Ca me semble... raisonnable !
Merci.

[sekaijin]

Attention car certain OS n'utilise pas d'extention pour typer les fichiers
du coup
"myFile" peut tout aussi bien être un application/ms-excel que text/plain ou tout autre chose.
il est du ressort du navigateur d'associer un mime/type lors d'un upload

si donc tu est trop restrictif côté client tu risque de voir ton truc ne plus fonctionner sur certain OS
IOS par exemple utilise Uniform Type Identifier

donc si pour un upload de document texte tu refuse les fichier qui ne son pas *.txt les utilisatuer IPAD ne pouront pas faire de upload

A+JYT

[Michaeljackfan]

Salut,

C'est ce que je pensais.

Je pense qu'une solution serait :
- de télécharger via Ajax le fichier dans un dossier "temp" ;
- et donc de vérifier le TYPE MIME en PHP du fichier téléchargé dans ce dossier.
Mais je n'ai pas envie de télécharger n'importe quoi !!

Je me trompe ?

Une alternative à Ajax (puisqu'il ne peut pas envoyer de fichier) est d'utiliser une iframe de taille 0 et invisible.
Inutile de le mettre dans un fichier temporaire, php le fait pour toi. Et il est possible de communiquer en javascript entre l'iframe et ta page principale pour permettre à php de t'indiquer si tout est OK.

Bien sûr, quitte à faire ça, autant envoyer toutes les infos d'un coup. La plupart du temps ce sera bon, donc inutile de télécharger deux fois le fichier. Il s'agit simplement de ne pas recharger la page tout de suite.

Ne t'en fait pas pour le fait de télécharger n'importe quoi. Tu peux télécharger le pire des virus, si le processeur n'exécute pas ses instructions, ça ne risque rien.

[SpaceFrog]

je vois pas l'interet de passer par un iframe pour faire un upload dans ce cas de figure juste pour tester le type mime ???

donc en gros tu conseilles de faire un iframe caché pour uploader le fichier pour vérifier le type mime et renvoyer une réponse à la page mère pour ensuite autoriser l'upload à partir du form de la page principale ...

le principe serait d'ailleurs le même avec ajax si l'upload était possible

Donc si type mime pas bon on aura eu un upload ...
si type mime bon on en aura eu deux ...

il est tout de même lus simple de faire un upload simple et tester le type mime en arrivant su le serveur...
si ok => move file
si pas ok =>abandon
=> dans tous les cas de figures 1 seul upload ...

pas moyen de faire moins ...

[Michaeljackfan]

SpaceFrog : tout à fait d'accord.

C'est pour cela que j'avais écrit :

Bien sûr, quitte à faire ça, autant envoyer toutes les infos d'un coup. La plupart du temps ce sera bon, donc inutile de télécharger deux fois le fichier. Il s'agit simplement de ne pas recharger la page tout de suite.

C'était pour dire qu'il valait mieux traiter le formulaire entier dans l'iframe. Ensuite, s'il y a une erreur, on le signal au visiteur. Autrement, on le dirige vers la page souhaitée.

[thelvin]

C'était pour dire qu'il valait mieux traiter le formulaire entier dans l'iframe. Ensuite, s'il y a une erreur, on le signal au visiteur. Autrement, on le dirige vers la page souhaitée.

C'est pas différent d'un AJAX tout bête et classique -_-°.

[SpaceFrog]

Oui enfin en l'occurrence pas besoin d'iframe du tout ... un simple traitement standard du form suffit ;..

[Michaeljackfan]

C'est pas différent d'un AJAX tout bête et classique -_-°.

Tu as à 95% raison. À une toute petite différence près : Ajax ne permet pas de gérer les fichiers, tandis qu'une iframe le peut.
C'est donc un comportement très proche de celui d'Ajax, le support des fichiers en plus. C'est bien ce qu'il voulait, non ?

Oui enfin en l'occurrence pas besoin d'iframe du tout ... un simple traitement standard du form suffit ;..

Si le fichier est bon, pas de soucis.
Mais s'il y a une erreur, utiliser une iframe permet de la signaler immédiatement au visiteur afin qu'il la corrige, plutôt que de recharger la page et lui demander de tout retaper (ou d'utiliser des echo(isset($_POST['x']) ? 'value="'.$_POST['x'].'" : 'y');).

À moins qu'il y ait une autre façon de tester un fichier sans recharger la page ?