Discussion :

[Invité]

Bonjour à vous !

Je suis entrain de développer un petit script qui permet de sauvegarder une image uploadé puis d'en créer une miniature, et j'aimerais connaitre vos astuces pour sécuriser ce genre de script

Mon code ressemble à sa :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
On POST:
   $nomFichier    = $_FILES["img1"]["name"] ;
   $nomTemporaire = $_FILES["img1"]["tmp_name"] ;
   $typeFichier   = $_FILES["img1"]["type"] ;
   $poidsFichier  = round($_FILES["img1"]["size"]/1024) ;
   $extension       = strtolower(array_pop(explode(".", $nomFichier)));
 
// Vérifications
if ($extension!="jpg" && $extension!="png" && $extension!="gif") {
     message_redir("------------- ERREUR -------------\\nLe format du fichier n'est pas autorisé.\\nLes extensions valides sont JPG, PNG et GIF !","?p=membre/profil");
}
if ($poidsFichier>=1000) {
      message_redir("------------- ERREUR -------------\\nVotre image a une taille supérieure à 1mo \\nVeuillez réduire votre image avant de recommancer","?p=membre/profil");
}
 
 // On copie la Photo en Grand Format 
$chemin = ("upload/big/");
copy($nomTemporaire, $chemin.$nomFichier);
 
 // On cré la miniature à partir de la photo grand format
$urlimage = "upload/big/".$nomFichier;
$imgmin = RatioResizeImg($urlimage,120,140,"upload/principal/");
 
$sql = mysql_query("INSERT INTO `galerie` ( ................ ) VALUES ( ........... )");
header("location: ?p=membre/profil");

Mes fonctions utilisées

J'aimerais savoir ce que vous en pensez, et me donner des conseils pour l'améliorer.

Merci !

[Bidouille]

Pas testé mais cette ligne me semble à revoir

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $extension       = strtolower(array_pop(explode(".", $nomFichier)));

Si je t'envoie un fichier test.gif.php cela doit passer

[Fladnag]

Pas testé mais cette ligne me semble à revoir

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $extension       = strtolower(array_pop(explode(".", $nomFichier)));

Si je t'envoie un fichier test.gif.php cela doit passer

je crois pas. le array_pop va sortir la derniere extension, soit "php", donc le controle suivant est correct.

[Invité]

Je viens de tester et il n'y a pas de pbm de ce coté là !
Avec test.gif.php, $extension="php" donc l'upload est bloquée.

array_pop(explode(".", $nomFichier)) sert à ne garder que les lettres aprés le dernier point.

Edit : Fladnag t'a été plus rapide que moi !