Bonjour,

J'ai entendu dire que quand on récupérait des images sans passer par l'upload classique (donc des images distantes via file_get_content par exemple), il fallait les analyser pour voir si elles ne contenaient pas de code malvaillant (des scripts php ou autre).

Ainsi est ce que vérifier la présence de "<?", "?>","<script" et "script>" suffit à m'assurer que l'image que je vais récupérer est saine ?

Je fais ceci (je sais j'aurai pu utiliser un switch mais c'est pour l'exemple):
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
$imgDistante = file_get_contents("http://www.toto.com/images/titi.jpg");
// je veux m'assurer que titi.jpg ne contient pas de code malvaillant
if(substr_count($fic_img , "<?" ) > 0 || substr_count($fic_img , "?>" ) > 0 || substr_count($fic_img , "<script" ) > 0 || substr_count($fic_img , "script>" ) > 0){echo "erreur";}
else
{
file_put_contents($imgRenomee, $imgDistante);		
}
Est ce correct ?
Y a t-il d'autres occurences à vérifier pour sécuriser la copie des fichiers distants ?

Merci d'avance