Discussion :

[Gwipi]

Bonjour,

J'ai quelques soucis de sécurité avec mes scripts d'upload en PHP. J'aurais voulu avoir l'avis de quelques spécialistes.

J'ai 2 scripts d'upload :

- Script d'upload d'image
L'utilisateur peut poster une image, je fais donc plusieurs vérification :
1. Je vérifie l'extension du fichier
2. Je vérifie le type MIME
3. Je vérifie que l'image a bien une taille (hauteur et largeur)
Si tout est ok, j'upload l'image.

- Script d'upload de fichiers divers
L'utilisateur peut poster divers fichiers du type .pdf, .xls, .doc, .zip
Je ne fais qu'une vérification sur l'extension.

Pouvez vous me dire si ces vérifications sont suffisantes et si non comment un hacker peut contourner ces systèmes de vérifications ?

Je me doute que le danger vient surtout du script d'upload de fichiers divers mais je ne sais pas comment il pourrait hacker mon site.

Il y a aussi le problème des droits d'écriture dans les dossiers qui recoivent ces fichiers ? Comment doivent ils être configurés ?

Je me pose ces questions car j'ai souvent un utilisateur qui tente d'upload des fichiers bizarres, des images de taille 0x0 pixels.

Merci bcp pour votre aide

PS : Tout est en PHP mais ce n'est peut être pas le bon forum, veuillez m'excuser.

[gorgonite]

déjà le répertoire où ils uploadent est-il "ouvert" à tous... ?

[Gwipi]

Le répertoire est ouvert à tous les membres.