Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Question sur l'upload de fichier
Bonjour,
J'ai une petit question concernant l'upload de fichier.
Je voudrai savoir, le type mime contenu dans $_FILE['type'], c'est bien le type mime contenu dans l'entête du fichier?
Quoi je sais pas si je m'exprime bien, mais il me semble qu'en début de chaque fichier il y a des info permettant de savoir le type du fichier.
Vu que je dois faire un upload sécurisé je voulais rajouté une couche de vérif avec le type mime mais je sais pas si en vérifian $_FILE['type'] ça peut être suffisant ...
Cette information n'est pas suffisante au niveau sécurité non :
http://php.net/manual/en/features.file-upload.php
Caution: *DO NOT* trust $_FILES['userfile']['type'] to verify the uploaded filetype; if you do so your server could be compromised. I'll show you why below:
The manual (if you scroll above) states: $_FILES['userfile']['type'] - The mime type of the file, if the browser provided this information. An example would be "image/gif".
Be reminded that this mime type can easily be faked as PHP doesn't go very far in verifying whether it really is what the end user reported!
So, someone could upload a nasty .php script as an "image/gif" and execute the url to the "image".
My best bet would be for you to check the extension of the file and using exif_imagetype() to check for valid images. Many people have suggested the use of getimagesize() which returns an array if the file is indeed an image and false otherwise, but exif_imagetype() is much faster. (the manual says it so)
si ce post vous a été utile,
si votre problème est résolu.
Pensez-y !
__________________________________
Doc officielle PHP | FAQ PHP | Cours PHP
Ah mais je n'utilise pas que cette couche comme sécurité. Je vérifie l'extension du fichier et aussi si il est bien envoyé par HTTP POST.
Je voulais juste rajouté une couche avec le type contenu dans l'entête du fichier mais j'arrive pas à trouver comment récupérer le type dans l'entête du fichier...
edit:
J'ai voulu utilisé
sauf que le serveur est en php 5.2
Code : Sélectionner tout - Visualiser dans une fenêtre à part finfo_open(FILEINFO_MIME_TYPE);
Malheureusement c'est le seul truc qui semble assez fiable (mais pas facile de faire un truc portable avec cette fonction).
Cela dit pour les images il reste getimagesize() ou comme mentionné plus haut exif_imagetype().
Après il y a aussi la configuration du serveur qui joue sur la sécurité.
Okok, merci pour les réponses
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager