Sécurité en importation CSV avec PHP

**moimp** · 04/12/2014, 11h24

Bonjour à tous,
Je crée un module d'importation CSV. J'aimerais savoir si ma méthode est bonne et si je ne risque pas de failles, en particulier d'injection SQL.
Je voudrais surtout éviter que des éléments de code figurent dans les données utilisateurs du fichier source. Je filtre les données html avec htmlspecialchars() mais comment faire pour le SQL?
Le principe est le suivant:

Un formulaire permet de sélectionner la table à importer;
J'analyse la table et prépare un second formulaire;
Dans ce nouveau formulaire en face de chaque titre de colonnes du fichier source figure une liste <select> contenant la liste des champs cible (ma table) comme ceci:

champ csv 1 <select 1>
champ csv 2 <select 2>
...

Je stocke la liste des champs cibles sélectionnés par l'utilisateur
Je rassemble les données du fichier source dans un tableau à deux dimensions comprenant pour chaque ligne la liste des valeurs.
Je crée une requête préparée que j'exécute pour chaque ligne.

**valaendra** · 04/12/2014, 15h22

Bonjour,

J'aimerais savoir si ma méthode est bonne

Du code, du code !!

**moimp** · 04/12/2014, 18h30

J'y avais pensé, mais j'ai eu peur que le code soit trop long. Voici:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
 
<?php
 
// Importation de fichiers externes
 
##################################################################### SECTION TETE : PARAMETRAGE AUTORISATION ##########################################################
 
include('../_debut.php'); // Début commun aux pages mères. Contient divers scripts systématiques comme l'encodage, le démarrage de session, etc.
define('FIC_TMP', "./tmp/tmp");
 
##################################################################### Fin SECTION TETE : PARAMETRAGE AUTORISATION ######################################################
 
##################################################################### SECTION MODELE ###################################################################################
 
connexion();
 
function inserer($parametres, $inserer)
{
	global $bdd;
 
	$titresCol = str_replace(':', '', $parametres);
	$nbCol = count($inserer[1]);
	$parametres = str_repeat("?, ", $nbCol);
	$parametres = rtrim($parametres, ', ');
 
	$requete = "INSERT IGNORE INTO adresses ($titresCol)
		VALUES ($parametres);";
	$reponse = $bdd->prepare($requete);
	foreach ($inserer as $key=>$ligne)
	{
		$reponse->execute($ligne);
	}
	//return $reponse->rowCount();
}
 
##################################################################### FIN section MODELE ###############################################################################
 
##################################################################### SECTION CONTROLE #################################################################################
 
function getCSVcontrols($nomFichier)
{
	if (file_exists($nomFichier)) $fichier = fopen($nomFichier, 'r');
	$chaine = fgets($fichier);
	$liste = array("\",\"", "\";\"", "\" \"", "\"\t\"", "','", "';'", "' '", "'\t'");
	foreach ($liste as $value)
	{
		if (strpos($chaine, $value)) {return $value; break;}
	}
	return false;
}
 
// Droits d'accès
$droitsPage = droits(1);
$visible = $droitsPage[0];
$disabled = '';
if ($droitsPage[1])
{
	$disabled = ' disabled';
}
if (! $visible) exit;
 
$erreur[0] = '';
 
if (isset($_POST['continuer']))
{
	// CONTROLES DU FICHIER
	// Si un fichier a été sélectionné
	if ($_FILES['fichier']['error'] != UPLOAD_ERR_NO_FILE)
	{
		if ($_FILES['fichier']['error'])
		{
			// Fichier trop gros
			if ($_FILES['fichier']['error'] == UPLOAD_ERR_INI_SIZE or $_FILES['fichier']['error'] == UPLOAD_ERR_FORM_SIZE) $erreur[] = ADR_IMP_ERR_POIDS;
			if ($_FILES['fichier']['error'] >2) $erreur = ADR_IMP_ERR_INCONN;
		}
		if (empty($_FILES['fichier']['tmp_name'])) goto sortiePrematuree;
		// Contrôle de l'extension et du type MIME autorisés
		$finfo = new finfo(FILEINFO_MIME_TYPE);
		$ftype = $finfo->file($_FILES['fichier']['tmp_name']);
		if (
			strtolower(getExtension($_FILES['fichier']['name'])) != 'csv'
			or $_FILES['fichier']['type'] != 'text/comma-separated-values'
			or $ftype != 'text/plain'
			) $erreur[] = ADR_IMP_ERR_EXT;
	}
	else $erreur[] = ADR_IMP_ERR_NOFILE;
 
	// Importation
	if (count($erreur) <= 1 and !$_FILES['fichier']['error'])
	{
		// Définition des colonnes du fichier de destination
		$colonnesCible['colNoms'] = array('client', 'complement', 'adresse1', 'adresse2', 'pays', 'cp', 'ville', 'tel', 'fax', 'courriel', 'url', 'note', 'langue');
		$colonnesCible['colLabels'] = array(
			ADR_LBL_CLI, ADR_LBL_COMPL, ADR_LBL_ADR1, ADR_LBL_ADR2, ADR_IMP_LI65, ADR_IMP_LI66, ADR_IMP_LI6B, 
			ADR_LBL_TEL, ADR_LBL_FAX, ADR_LBL_MAIL, ADR_LBL_URL, ADR_LBL_NOTE, ADR_LBL_LNG);
		$colonnesCible['colTailles'] = array(60, 60, 60, 60, 2, 6, 25, 20, 20, 65, 65, 100, 2);
		$colonnesCible['colTypes'] = array_fill(0, 13, 'varchar');
 
		// Initialisation et paramètres de l'objet $csv
		$csv = new SplFileObject($_FILES['fichier']['tmp_name'], 'r');
		$csv->setFlags(SplFileObject::READ_CSV | SplFileObject::SKIP_EMPTY);
		$csvParam = getCSVcontrols($_FILES['fichier']['tmp_name']); // Fonction MP
		if (!$csvParam)
		{
			$erreur[] = ADR_IMP_ERR_FIC;
			goto sortiePrematuree;
		}
		else
		{
			$encadrement = substr($csvParam, 0, 1);
			$separateur = substr($csvParam, 1, 1);
		}
		$csv->setCsvControl($separateur, $encadrement); // séparateur de colonne, encadrement de colonne, échappement
 
		// Lecture du premier enregistrement (têtes de colonnes)
		$csv->seek(0);
		$nomsColonnesCSV = $csv->current();
 
		$encodage = mb_detect_encoding($nomsColonnesCSV[0]);
		$compt = count($nomsColonnesCSV);
		for ($i=0; $i<$compt; $i++) // On ne peut pas utiliser foreach car $value n'est qu'une image et n'affecte pas la valeur réelle.
		{
			$nomsColonnesCSV[$i] = mb_convert_encoding($nomsColonnesCSV[$i], 'UTF-8', $encodage);
		}
		unset($i);
 
		// Elaboration des listes de choix des têtes de colonnes cible (table adresses)
		$listeColonnesCible = '';
		for ($i=0; $i<13; $i++)
		{
			$teteCol = $colonnesCible['colNoms'][$i];
			$libelCol = $colonnesCible['colLabels'][$i];
			$listeColonnesCible .= "<option value='$teteCol'>$libelCol</option>\n";
 
		}
		unset($i);
 
		$_SESSION['import']['separateur'] = $separateur;
		$_SESSION['import']['encadrement'] = $encadrement;
		$_SESSION['import']['encodage'] = $encodage;
		$_SESSION['import']['colonnesCible'] = $colonnesCible['colNoms'];
		move_uploaded_file($_FILES['fichier']['tmp_name'], FIC_TMP);
 
		unset($csv);
	}
	sortiePrematuree:
}
 
if (isset($_POST['importer']))
{
	$separateur = $_SESSION['import']['separateur'];
	$encadrement = $_SESSION['import']['encadrement'];
	$encodage = $_SESSION['import']['encodage'];
	$champsPossibles = $_SESSION['import']['colonnesCible'];
	if (file_exists(FIC_TMP)) $fichier = FIC_TMP;
 
	$csv = new SplFileObject($fichier, 'r');
	$csv->setFlags(SplFileObject::READ_CSV | SplFileObject::SKIP_EMPTY);
	$csv->setCsvControl($separateur);
 
	$enregistrer = $_POST;
	unset($enregistrer['importer']);
	// Lecture des champs cible sélectionnés correspondant aux champs de la source
	foreach ($enregistrer as $key=>$value)
	{
		if ($value != ADR_IMP_NO_CHAMP) $clefsUtiles[] = substr($key, 4);
	}
	unset($value);
	// Elaboration de la liste des champs cible à transmettre à la requête d'insertion
	$parametres = ':id_abo, :';
	foreach ($clefsUtiles as $value)
	{
		$parametres .= $enregistrer['col_'.$value].', :';
	}
	unset($value);
	$parametres = rtrim($parametres, ', :');
	$parametres = strip_tags($parametres);
 
	$i = 0;
	foreach ($csv as $ligne)
	{
		if ($i)
		{
			$inserer[$i][] = $_SESSION['abo']['id_abo'];
			foreach ($ligne as $key=>$col)
			{
				if (in_array($key, $clefsUtiles))
				{
					$col = mb_convert_encoding($col, 'UTF-8', $encodage);
					$col = str_replace(array("\r", "\n", "\r\n"), " ", $col);
					$inserer[$i][] = $col;
				}
			}
		}
		$i++;
		if ($i > 5) break;
	}
	unset($csv, $ligne);
	var_dump($inserer);
	$ctl = inserer($parametres, $inserer);
	// ajouter destruction du fichier tmp
	// Ne fonctionne pas
	/*
	echo substr(sprintf('%o', fileperms($fichier)), -4).'<br/>';
	echo '-'.chmod($fichier, 0777).'-'.'<br/>';
	echo substr(sprintf('%o', fileperms($fichier)), -4).'<br/>';
	if (file_exists($fichier)) unlink($fichier);
	*/
}
 
##################################################################### FIN section CONTROLE #############################################################################
 
##################################################################### SECTION VUE ######################################################################################
 
include('_teteF.php');
 
?>
 
<?php
// Affichage des erreurs
if (isset($erreur))
{
	msg_erreur($erreur);
	//unset($erreur);
}
?>
 
<h2><?php echo ADR_IMP_H2; ?></h2>
 
<!-- Mode d'emploi et consignes sur format csv -->
<p><?php echo ADR_IMP_INTRO; ?></p>
<ul>
	<li><?php echo ADR_IMP_LI1; ?></li>
	<li><?php echo ADR_IMP_LI2; ?></li>
	<li><?php echo ADR_IMP_LI3; ?></li>
	<li><?php echo ADR_IMP_LI4; ?></li>
	<li><?php echo ADR_IMP_LI5; ?></li>
</ul>
 
<form name="f_import_1" method="post" enctype="multipart/form-data">
	<input type="hidden" name="MAX_FILE_SIZE" value="1000000">
	<label for="fichier"><?php echo ADR_IMP_FIC; ?></label><input type="file" name="fichier" id="fichier" /><br/>
	<p><input type="submit" name="continuer" value="<?php echo BTN_CONTINUER; ?>" /></p>
</form>
 
<?php if (isset($_POST['continuer']) and count($erreur) <= 1): ?>
<form name="f_import_2" method="post">
	<div class="colonnes">
		<div>
			<p><span class="offsetChamps"><?php echo ADR_IMP_TET_SRC; ?></span><?php echo ADR_IMP_TET_CIB; ?></p>
			<?php
				$i = 0;
				foreach ($nomsColonnesCSV as $value)
				{
					?>
					<label for="col_<?php echo $i; ?>"><?php echo $value; ?></label><select name="col_<?php echo $i; ?>" id="col_<?php echo $i; ?>">
						<option label="x"><?php echo ADR_IMP_NO_CHAMP; ?></option>
						<?php echo $listeColonnesCible; ?>
					</select><br/>
					<?php
					$i++;
				}
				unset($value);
			?>
			<p><input type="submit" name="importer" value="<?php echo ADR_IMP_BTN_IMP; ?>" />
		</div>
	</div>
</form>
<?php endif; ?>
 
<?php
 
include('_pied.php');
 
##################################################################### FIN section VUE ##################################################################################
 
?>

Sécurité en importation CSV avec PHP [MySQL-5.6]

MySQL

Discussions similaires

Partager

Partager